VSCodeの拡張機能のセキュリティリスクと対策について解説します。
VSCodeの拡張機能に存在するセキュリティリスク
VSCodeの拡張機能は非常に便利ですが、セキュリティ上のリスクがあります。
- 拡張機能に悪意あるコードが仕込まれているリスク
- 公式マーケットプレイスでも、悪意のあるコードを含む拡張機能が多数発見されています。
- 2024年には1,283件が報告され、2億回以上ダウンロードされていたという報告もあります(※1)。
- 拡張機能はファイル操作やネットワーク通信など、広範な権限を持つことが可能です。
- また、デフォルトで自動更新されるため、後から故意もしくは乗っ取りにより、悪意のあるコードが仕込まれるリスクがあります。
- 拡張機能はOSレベルで動作するため、悪意あるコードが実行されると、システムへの影響も大きくなります。
- 拡張機能に脆弱性や機能を悪用するリスク
- 拡張機能に存在する脆弱性や機能を不正な攻撃等に悪用されるリスクがあります。
- VSCode本体機能の悪用事例ですが、攻撃者がVSCodeの「開発トンネル機能(Microsoft Dev Tunnels)」のVSCode CLIを通じてマルウェアを自動的にダウンロード・実行させるケースが警視庁の資料で報告されています(※2)。
- ※1 Microsoft VSCode、悪意ある拡張機能を多数発見 | TECH+(テックプラス)
- ※2 VS Codeを悪用した手口及び痕跡・検知策 警視庁
ユーザーが取るべきセキュリティ対策
拡張機能のリスクを鑑みて、以下のようなセキュリティ対策の実施を検討しましょう。
- 信頼できる拡張機能のみを使用
- 開発元の実績やレビュー、GitHubリポジトリの確認を行いましょう。
- インストール数やレビューが多い、評価が高いものを選ぶと良いでしょう。
- 低評価レビューの内容に注目し、不審な動作やセキュリティ懸念が書かれていないか確認しましょう。
- 利用者が多く、最近も更新されている拡張機能は、開発が継続されている証拠です。長期間更新されていないものは脆弱性なども放置されているリスクがあるため、注意が必要です。「脆弱性対策情報データベース」などで過去に脆弱性の報告がないか、報告があれば対応済か、未済であれば自身の環境に悪影響が出る可能性があるかなど確認しましょう。人気の拡張機能「Python」でも過去に脆弱性の報告があります。→ JVNDB-2024-013116 – JVN iPedia – 脆弱性対策情報データベース
- 正規の拡張機能に似せた名前で、偽装されるケースもあります。開発元や拡張機能名もしっかり確認しましょう。
- 開発元がMicrosoft製などの大手企業であるか、「Verified Publisher」バッジが付いているか、GitHubリポジトリが公開されているか、開発者のWebサイトや連絡先が明記されているかなど、開発元の規模や透明性も参考に信頼を判断しましょう。
- 不要な拡張機能は削除
- 使用していない拡張機能を定期的にチェックしてアンインストールしましょう。
- 自動更新を無効化
settings.jsonで"extensions.autoUpdate": falseに設定し、更新内容を確認してから手動で適用することもできます必要に応じて利用を検討しましょう。
- セキュリティツールの導入(上級者向け)
- 拡張機能の挙動を監視するツール(例:ファイルアクセス監視、ネットワーク監視)を活用しましょう。
- 仮想環境やコンテナ上での開発(上級者向け)
- 仮想環境やコンテナ上など、VSCodeをOSから隔離して使用することで、万が一の被害を最小限にすることができます。
関連ページ
【VSCode超入門】基本的な使い方から応用例まで解説
VSCode(Visual Studio Code)の基本的な使い方から応用例まで入門者向けに解説します。
windows.joho.info
2025.06.23
Python超入門速報
python.joho.info
【Windows超入門】初心者から上級者までテクニックを解説
Windowsの基本操作と設定基本操作Windowsの基本操作便利なショートカット大全集画面のカスタマイズカスタマイズWindows 11の右クリックメニューを昔のスタイル(Windows 10)に戻す方法Windowsを高速化・軽量化する...
windows.joho.info
2024.06.29
コメント