Microsoft VSCode、悪意ある拡張機能を多数発見

画像提供：マイナビニュース

Mediumはこのほど、「3/6｜A Letter to Microsoft: Uncovering Design Flaws of Visual Studio Code Extensions｜by Amit Assaraf｜Jun, 2024｜Medium」において、Microsoft Visual Studio Codeの拡張機能にセキュリティ上の欠陥が驚くほど多数存在すると伝えた。MicrosoftおよびVisual Studio Codeを利用するすべての企業に至急の対策を推奨している。

○Visual Studio Code拡張機能の欠陥とは

Mediumが指摘したVisual Studio Code拡張機能におけるセキュリティ上の欠陥は次のとおり。

権限モデルがない。拡張機能はすべての機能を使用できる。テーマに分類される拡張機能は一般的に視覚的な設定権限だけを必要とするが、コードの実行やファイルの読み書きもできる
設定を変更しない限り拡張機能はバックグラウンドで自動的に更新される。攻撃者が途中から悪意のある処理を加えてもユーザーは気づくことができない
拡張機能にはサンドボックスなどの保護がない。攻撃者は拡張機能を介してバックドアの設置、機密情報の窃取、マルウェアの展開、システムの乗っ取りなどあらゆるサイバー攻撃を展開できる
セキュリティソリューションによる検出はほぼ不可能。Visual Studio Codeは開発者自身がさまざまなプログラムを構築、テストするためその動作を「ただのバグ」か「不正な動作」なのかを認識できない
公式の「Visual Studio Marketplace」に拡張機能のコードレビューはない。「認証済みパブリッシャー」を意味する「確認済みバッジ」は年間数ドルのDNS認証済みドメインをアカウントに追加するだけで取得できる。利用者はバッジを安全性の指標として使えない
拡張機能の開発者向けユーティリティ「GitHub - microsoft/vscode-vsce: VS Code Extension Manager」には、現在開いているフォルダ全体をパッケージ化する欠陥がある。Mediumは数千のパッケージから認証情報やソースコードを発見している

○セキュリティ上の欠陥を検証する実験

Mediumはセキュリティ上の欠陥を検証するため、「問題のない範囲の情報窃取能力」を持つ拡張機能の配布実験を実施している。実験では、人気のある拡張テーマ「Dracula Official」のタイポスクワッティング拡張テーマ「Darcula Official」を公式マーケットプレイスから配布している。