OX Securityの研究チームは2026年2月17日、VS Codeの人気拡張機能4件に起因する脆弱性群を公表しました。3件はCVE(CVE-2025-65715/65716/65717)が付与され、合計1.2億超のダウンロード規模とされます。IDE(統合開発環境)と拡張機能が、組織のソフトウェアサプライチェーンにおける「最も弱いリンク」になり得る、と問題提起しています。
概要
OX Securityが整理した対象と影響は次の通りです。
-
Live Server(CVE-2025-65717 / CVSS 9.1):リモートからのローカルファイル窃取(Remote file exfiltration)
-
Code Runner(CVE-2025-65715 / CVSS 7.8):リモートコード実行(Remote code execution)
-
Markdown Preview Enhanced(CVE-2025-65716 / CVSS 8.8):JavaScript実行を起点にローカルポートスキャン、条件次第でデータ窃取の可能性
-
Microsoft Live Preview(CVEなし):ワンクリックXSSからIDE内ファイル窃取につながる問題(0.4.16+で修正済みとされる)
NVD側でも、Live ServerやCode Runner、Markdown Preview Enhancedについて、特定バージョンでのファイル窃取・任意コード実行などの説明が掲載されています。
深刻な理由
開発者端末には、業務ロジック、APIキー、DB接続情報、環境変数(.env)などの機密が集約されます。
OX Securityは「拡張機能はIDE内の小さな管理者のような存在」であり、たった1つの悪性拡張や1つの脆弱性だけで、端末侵害から組織内の横展開(lateral movement)につながり得るとしています。
原因
技術的な根本原因は拡張機能ごとに異なりますが、共通するのは
「開発者端末上で動く拡張が、設定やローカルサーバー、ファイルアクセスなど広い権限を持ち、境界(ブラウザ・ローカルホスト・ファイルシステム)が崩れやすい」点です。
特に、localhostで開発用サーバーを動かす拡張(Live Server等)は、外部コンテンツを踏み台にされると情報が抜かれ得る構造が問題になります。
影響
OX Securityは、想定される被害を次のように整理しています。
-
機密情報の持ち出し(APIキー、認証情報、社内設定、ソースコード等)
-
開発者端末の乗っ取り
-
開発端末を起点とした社内ネットワークへの横展開
公表と対応の状況
OX Securityは、3件のCVE相当の脆弱性について2025年7〜8月に責任ある開示を行ったものの、執筆時点でメンテナから十分な応答が得られていないとしています。
一方、Live Previewについては「0.4.16以降で修正済み」との扱いです(ただしCVE付番はされていない、という主張を含む)。
情報システム部門が取るべき対策
開発環境は「例外扱い」されがちですが、実際には最重要資産への入口です。まずは以下を優先すると現実的です。
-
拡張機能の棚卸しと統制:導入済み拡張の一覧化、不要拡張の無効化、許可リスト運用(最低限、開発端末は対象に含める)
-
更新の強制:VS Code本体だけでなく拡張機能も更新を管理対象にする(古い拡張の放置がそのままリスク)
-
localhostサーバー運用の見直し:不要時は停止、外部コンテンツ(不審なHTML等)を開かない、端末FWで到達性を絞る
-
settings.jsonの保護:メールやチャット経由で設定断片を貼り付けない運用を徹底し、差分監視・バックアップで改変検知(Code Runnerのように設定が攻撃面になる)
-
シークレット管理の再設計:.env平文前提を減らし、短命トークン、権限最小化、漏えい時の即時ローテーション手順を整備
出典
Four Vulnerabilities Expose a Massive Security Blind Spot in IDE Extensions








