システム開発者は要注意:「認証済み」バッジは本当に安全か?IDEに潜むセキュリティリスク

セキュリティニュース

投稿日時: 更新日時:

システム開発者は要注意:「認証済み」バッジは本当に安全か?IDEに潜むセキュリティリスク

2025年7月、OX Securityの研究者が、Visual Studio Code(VSCode)やIntelliJ IDEA、Visual Studioなど主要な統合開発環境(IDE)において、「認証済み」と表示される拡張機能が、実際には悪意あるコードを含んでいても見逃される可能性があるという重大な脆弱性を発見しました。

問題の概要:信頼の裏に隠れるリスク

VSCodeやIntelliJなどのIDEは、開発者が便利に作業を進めるための豊富な拡張機能を提供しています。これらの拡張機能は、通常「認証済みバッジ」によって信頼性が保証されているように見えます。しかし、OX Securityの検証では、悪意あるコードを組み込んだにもかかわらず、この認証マークが維持された状態で拡張機能を公開・インストールできる方法が存在することが明らかになりました。

技術的調査:VSCodeの検証バイパス手法

VSCodeでは、Marketplace経由で拡張機能をインストールする際に、認証済みかどうかをチェックする通信が行われています。リクエストとレスポンスの内容を解析したところ、package.jsonなどの内部ファイルを改変することで、既存の認証済み拡張と同じパラメータを持つ悪意あるVSIXファイル(拡張機能パッケージ)を作成できることが分かりました。

技術的調査:VSCodeの検証バイパス手法

画像:OX Security

このファイルには、OSコマンドを実行するコード(例:電卓を起動)が含まれており、拡張機能として読み込まれるとユーザーが知らないうちに実行されます

他のIDEも対象に

この調査手法はVSCodeだけでなく、Visual Studio、IntelliJ IDEA、Cursorといった他の開発環境にも応用可能であることが検証されました。ファイル構造や検証方法に差異はあるものの、いずれも拡張機能の検証に抜け穴がある点が共通しています。

被害範囲と影響

GitHubなどから手動でVSIXファイルをダウンロード・インストールする開発者が多い現状では、悪意ある拡張機能が「認証済み」に見えても警戒されず、ローカル環境に深刻な影響を与える恐れがあります。これは、開発者のワークステーションを踏み台にして、さらに企業ネットワークへアクセスする攻撃の起点にもなり得ます。

推奨対策

開発チームへの推奨

  • 拡張機能の「認証済みバッジ」を過信しない
  • 拡張機能は公式Marketplaceからのみインストールする
  • VSIX形式の拡張機能は極力使用しない

IDEベンダーへの提言

  • 拡張機能の署名に多段階検証を導入
  • ファイル単位でのハッシュ検証を行い、改変を検知
  • Marketplace以外の経路からのインストール制限を強化

拡張機能開発者への推奨

  • 証明書ベースのコード署名と整合性確認を徹底
  • 改ざん防止策の実装

ベンダーの対応

Microsoftは「これは設計通りであり、Marketplaceでの公開はブロックされる。サイドロード(手動インストール)でのみ実行可能」として修正予定はないと回答しました。JetBrainsは「ZIPファイルから手動でインストールする場合はユーザー責任」とし、Cursorも「署名の検証は行っていない」と述べています。

まとめ

開発環境における「認証済みバッジ」は必ずしも安全性を保証するものではありません。開発者個人、組織、IDEベンダーすべてが協力して、拡張機能の真正性を見極め、慎重に扱う必要があります。見た目だけの信頼に頼るのではなく、実際の内容や出所に目を向ける姿勢が、今後のセキュリティには不可欠です。

 

参照

Can You Trust that Verified Symbol? Exploiting IDE Extensions is Easier Than it Should Be