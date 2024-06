Mediumはこのほど、「3/6|A Letter to Microsoft: Uncovering Design Flaws of Visual Studio Code Extensions|by Amit Assaraf|Jun, 2024|Medium」において、Microsoft Visual Studio Codeの拡張機能にセキュリティ上の欠陥が驚くほど多数存在すると伝えた。MicrosoftおよびVisual Studio Codeを利用するすべての企業に至急の対策を推奨している。

3/6|A Letter to Microsoft: Uncovering Design Flaws of Visual Studio Code Extensions|by Amit Assaraf|Jun, 2024|Medium○Visual Studio Code拡張機能の欠陥とはMediumが指摘したVisual Studio Code拡張機能におけるセキュリティ上の欠陥は次のとおり。権限モデルがない。拡張機能はすべての機能を使用できる。テーマに分類される拡張機能は一般的に視覚的な設定権限だけを必要とするが、コードの実行やファイルの読み書きもできる設定を変更しない限り拡張機能はバックグラウンドで自動的に更新される。攻撃者が途中から悪意のある処理を加えてもユーザーは気づくことができない拡張機能にはサンドボックスなどの保護がない。攻撃者は拡張機能を介してバックドアの設置、機密情報の窃取、マルウェアの展開、システムの乗っ取りなどあらゆるサイバー攻撃を展開できるセキュリティソリューションによる検出はほぼ不可能。Visual Studio Codeは開発者自身がさまざまなプログラムを構築、テストするためその動作を「ただのバグ」か「不正な動作」なのかを認識できない公式の「Visual Studio Marketplace」に拡張機能のコードレビューはない。「認証済みパブリッシャー」を意味する「確認済みバッジ」は年間数ドルのDNS認証済みドメインをアカウントに追加するだけで取得できる。利用者はバッジを安全性の指標として使えない拡張機能の開発者向けユーティリティ「GitHub - microsoft/vscode-vsce: VS Code Extension Manager」には、現在開いているフォルダ全体をパッケージ化する欠陥がある。Mediumは数千のパッケージから認証情報やソースコードを発見している○セキュリティ上の欠陥を検証する実験Mediumはセキュリティ上の欠陥を検証するため、「問題のない範囲の情報窃取能力」を持つ拡張機能の配布実験を実施している。実験では、人気のある拡張テーマ「Dracula Official」のタイポスクワッティング拡張テーマ「Darcula Official」を公式マーケットプレイスから配布している。偽の拡張機能を公開してから数分後には被害者が現れ、24時間後には100名以上に増加したという。また、数日後に被害者一覧を確認したところ、時価総額4,830億ドルの上場企業や裁判所関連ネットワークを確認できたとしている。○影響Mediumの調査によると、公式マーケットプレイスから悪意のある拡張機能が1,283件発見され、合計2億2,900万回ダウンロードされたていることがわかったという。これら悪意のある拡張機能はすべてMicrosoftに報告されている。しかしながら、BleepingComputerによると、報告された拡張機能の大部分は公式マーケットプレイスから削除されていないという(参考「Malicious VSCode extensions with millions of installs discovered」)。そのため、Microsoft Visual Studio Codeの利用者には、拡張機能をインストールする前にパッケージの安全性を徹底的に分析調査することが推奨されている。なお、Mediumは分析調査を支援するため、後日無料のリスク評価ツールを公開予定としている。