人気のMicrosoft Visual Studio Code(VS Code)拡張機能4件に、ローカルファイルの窃取や任意コード実行につながり得る脆弱性が報告されています。OX Securityは「拡張機能1つ、または1つの欠陥が組織全体の侵害に連鎖し得る」と指摘しており、開発環境の運用見直しが重要です。
The Hacker News:Critical Flaws Found in Four VS Code Extensions with Over 125 Million Installs
この記事のポイント
影響のあるシステム
- Microsoft Visual Studio Code(VS Code)を利用する開発端末・開発環境
- VS Code拡張機能:Live Server(CVE-2025-65717 / CVSS 9.1)— localhost:5500 のローカル開発HTTPサーバー経由で、ファイルが探索・送信され得ると報告
- VS Code拡張機能:Markdown Preview Enhanced(CVE-2025-65716 / CVSS 8.8)— 細工されたMarkdown(.md)で任意JavaScript実行、ローカルポート列挙や持ち出しにつながり得ると報告
- VS Code拡張機能:Code Runner(CVE-2025-65715 / CVSS 7.8)— settings.json の改変を誘導されることで任意コード実行につながり得ると報告
- VS Code拡張機能:Microsoft Live Preview(CVEなし)— localhost を狙うリクエストで機微ファイルにアクセスされ得る脆弱性が報告され、v0.4.16(2025年9月リリース)で修正済みとされています
- 上記4拡張は合計で1億2,500万回超インストールされたと報告されています
推奨される対策
- 不要な拡張機能を無効化・アンインストールし、利用目的が明確なものだけを残す
- 拡張機能を定期的に更新し、Microsoft Live Previewはv0.4.16以降へ更新状況を確認する
- 信頼できない設定(例:不審な設定ファイル変更や不明な構成)を適用しない運用を徹底する
- 拡張機能が稼働している状態で、不審なWebサイト閲覧や不審ファイル(Markdown等)の取り込みを避ける
- ローカル(localhost)で起動する開発用サービスは、不要時に停止し、露出を最小化する
- ローカルネットワークをファイアウォール等で堅牢化し、不要な通信(特に外向き/内向き)を制限する
上記の対策は、元記事の事実に基づき日本の読者向けに整理したものです。
この記事に出てくる専門用語
- CVE:共通脆弱性識別子。特定の脆弱性に付与されるIDです。
- CVSS:脆弱性の深刻度を数値化する評価指標です。
- RCE(Remote Code Execution):攻撃者が任意のコードを実行できる状態につながり得る脆弱性・攻撃を指します。
- localhost:自端末(ローカル)を指す名前解決先で、開発用サーバーなどがここで待ち受けることがあります。
- フィッシング/ソーシャルエンジニアリング:人の判断を誤らせ、設定変更や操作を誘導する手口です。
- ラテラルムーブメント(横展開):侵入後に他の端末やシステムへ移動し、被害を拡大させる動きです。
開発端末が狙われる理由と、起き得る影響
今回の報告は、サーバーやクラウドだけでなく「開発者の端末そのもの」が攻撃の起点になり得る点を強く示しています。OX Securityは、悪意ある拡張機能1つ、あるいは拡張機能内の1つの脆弱性だけで、横展開を起こして組織全体の侵害に至り得るという趣旨を述べています。つまり、開発者が日常的に使うIDE(統合開発環境)の拡張が“盲点”になると、機密情報の持ち出しや端末の乗っ取りが、比較的少ないきっかけ(クリックや導入済み拡張の放置)で連鎖し得る、という見立てです。
特に開発端末には、ソースコード、設定ファイル、開発中の成果物など、事業上の重要情報が集まりやすい傾向があります。今回の内容では、ローカルで動作する開発用HTTPサーバー(例:localhost:5500)や、拡張機能が扱うプレビュー機能が、ファイル探索や持ち出しの足がかりになり得ると説明されています。開発現場の利便性のために“ローカルだけで動く”と思い込みがちな仕組みほど、攻撃者にとっては狙いどころになりやすい点に注意が必要です。
4つの拡張で報告された脆弱性の概要
The Hacker Newsが紹介した内容では、対象はLive Server、Code Runner、Markdown Preview Enhanced、Microsoft Live Previewの4拡張で、合計インストール数は1億2,500万回超とされています。具体的には、Live Serverに関してCVE-2025-65717(CVSS 9.1)が挙げられ、拡張機能が稼働している状態で開発者が悪意のあるWebサイトを閲覧すると、ページ内のJavaScriptがlocalhost:5500で動くローカル開発HTTPサーバー上のファイルを探索し、攻撃者が管理するドメインへ送信し得る、と説明されています。Markdown Preview EnhancedではCVE-2025-65716(CVSS 8.8)が挙げられ、細工されたMarkdown(.md)ファイルのアップロードを通じて任意のJavaScript実行が可能になり、ローカルポートの列挙や、攻撃者側ドメインへの送信につながり得ると報告されています。
Code RunnerではCVE-2025-65715(CVSS 7.8)が挙げられ、フィッシングやソーシャルエンジニアリングでsettings.jsonの変更を誘導されることで、任意コード実行につながり得ると説明されています。Microsoft Live PreviewについてはCVEは付与されていないものの、拡張が動作中に悪意のあるWebサイトへ誘導されると、localhostを狙う特別に細工されたJavaScriptリクエストで機微ファイルが列挙・持ち出しされ得るとされています。このLive Previewの問題は、GitHub上の変更履歴によれば2025年9月リリースのv0.4.16で修正済みで、Microsoftがサイレントに修正したと報告されています。一方で、Live Server、Markdown Preview Enhanced、Code Runnerの3件は、記事内では未修正のままとされています(記事掲載時点)。
国内組織が直ちに確認すべき運用ポイント
今回の報告は「拡張機能は便利だが、導入・放置がそのままリスクになり得る」という現実を突き付けています。まず実務として重要なのは、開発端末にどの拡張機能が入っているかを把握し、業務上必須でない拡張は無効化・アンインストールすることです。記事でも、不要な拡張を外すこと、拡張の定期更新、信頼できない構成(不審な設定の適用)を避けることが、開発環境を守る基本として挙げられています。特にMicrosoft Live Previewは修正版(v0.4.16)に更新されているか確認し、更新が難しい環境では利用停止も含めた判断が必要になります。
また、今回の脆弱性は「悪意のあるWebサイト閲覧」「細工されたMarkdownの取り込み」「settings.jsonの変更誘導」といった、人の操作や日常のワークフローに入り込む形で成立し得ると説明されています。したがって、運用面では“信用できないものを持ち込まない”ルールを具体化することが重要です。たとえば、社外由来の設定ファイルや不審な変更指示を安易に適用しない、拡張が起動している状態で不用意に不審サイトを開かない、ローカルで起動する開発用サービスは不要時に停止する、といった整理が現実的です。加えて記事では、ローカルネットワークをファイアウォール等で堅牢化し、不要なインバウンド/アウトバウンド通信を制限することも推奨されています。開発効率と安全性のバランスを取りつつ、“IDE拡張もサプライチェーンの一部”として管理することが、被害の連鎖を断つ近道になります。
