Visual Studio Code(VS Code)は世界中の開発者に愛用されているコードエディタですが、その便利な拡張機能エコシステムに深刻なセキュリティリスクが発見されました。サイバーセキュリティ研究者が、AI搭載のコーディングアシスタントを装った2つの悪意ある拡張機能を特定し、これらが開発者のソースコードを密かに中国のサーバーへ送信していたことが判明しています。
この記事のポイント
- AI支援ツールを装った2つの悪意あるVS Code拡張機能が発見された
- 合計150万回以上インストールされ、依然として公式マーケットプレイスで入手可能だった
- 開発者のソースコードが中国ベースのサーバーへ密かに送信されていた
発見された脅威の詳細
サイバーセキュリティ研究者たちは、Microsoft Visual Studio Codeの公式マーケットプレイスで配布されていた2つの拡張機能が、表向きはAI搭載のコーディングアシスタントとして機能しながら、裏では開発者のデータを収集・外部送信する隠された機能を持っていたことを明らかにしました。これらの拡張機能は合計で150万回以上インストールされており、多くの開発者が知らないうちに被害を受けていた可能性があります。
特に懸念されるのは、これらの拡張機能が公式のVisual Studioマーケットプレイスで配布されていたという点です。開発者は公式ストアからダウンロードしたツールを信頼する傾向があり、今回の事例はサプライチェーン攻撃の新たな形態として注目されています。
開発者への影響とリスク
この種の悪意ある拡張機能がもたらすリスクは非常に深刻です。ソースコードには企業の知的財産、アルゴリズム、ビジネスロジック、さらにはAPIキーやデータベース接続情報などの機密情報が含まれている可能性があります。これらが外部に流出すれば、競争優位性の喪失、セキュリティ侵害、さらには法的責任問題にまで発展する恐れがあります。
開発者、特にAIツールを活用して生産性を向上させようとしている方々は、拡張機能をインストールする前に十分な調査を行う必要があります。人気があることや公式ストアに掲載されていることだけでは、安全性の保証にはなりません。
知っておくと便利なTips
- VS Code拡張機能をインストールする前に、発行者の信頼性、レビュー、GitHubリポジトリの活動状況を確認する
- 拡張機能が要求する権限を注意深く確認し、機能に対して過剰な権限を求めるものは避ける
- 定期的にインストール済みの拡張機能を見直し、使用していないものや不審なものは削除する
- 機密性の高いプロジェクトでは、必要最小限の拡張機能のみを使用することを検討する
まとめ
今回の事例は、開発者ツールのエコシステムにおけるサプライチェーンセキュリティの重要性を改めて浮き彫りにしました。AIツールへの需要が高まる中、悪意ある攻撃者がこのトレンドを悪用する事例は今後も増加すると予想されます。開発者は便利なツールを活用しつつも、セキュリティ意識を高く保ち、インストールする拡張機能を慎重に選択することが求められます。公式マーケットプレイスであっても完全に信頼せず、常に批判的な目で評価する姿勢が重要です。
📎 元記事: https://thehackernews.com/2026/01/malicious-vs-code-ai-extensions-with-15.html
コメント