VSCode拡張機能4つに深刻な脆弱性、1億2800万回超ダウンロードに影響

VSCode拡張機能の深刻な脆弱性、1億2800万回超のダウンロードに影響

開発者に広く利用されているVisual Studio Code（VSCode）の主要拡張機能に、ローカルファイルの窃取やリモートコード実行を可能にする深刻な脆弱性が複数発見された。セキュリティ企業のOX Securityが2026年2月17日に公表した調査によれば、影響を受ける拡張機能の累計ダウンロード数は1億2800万回を超える。特に問題なのは、報告から半年以上が経過した後も、4件中3件の脆弱性が未パッチのまま放置されている点だ。VSCodeの豊富な拡張機能エコシステムは開発効率を飛躍的に高めるが、その反面、サードパーティ製拡張機能のセキュリティ管理というリスクを開発者自身に委ねている構造的な課題が、今回の事態で改めて浮き彫りとなった。

影響を受ける拡張機能とその危険性

OX Securityの調査によると、脆弱性が確認されたのは以下の4つの拡張機能である。

• Live Server (ダウンロード数: 約1億900万回)
• Code Runner (ダウンロード数: 約3800万回)
• Markdown Preview Enhanced (ダウンロード数: 約1100万回)
• Microsoft Live Preview (ダウンロード数: 約1000万回)

これらの拡張機能には、悪意のあるウェブサイトや、細工されたファイルを介して攻撃が行われる可能性がある。OX Securityのブログ記事によれば、具体的には、拡張機能の機能を悪用され、開発者のマシン上のローカルファイルを外部に送信されたり、任意のコードを実行されたりするリスクがある。脆弱性にはCVE識別子が割り当てられており、中でも「CVE-2025-65717」は深刻度を表すCVSSスコアが9.1（最高10）と評価されている。

未パッチのまま放置される3件、唯一修正済みはMicrosoft製

今回の報告で最も懸念されるのは、脆弱性の発見と報告から相当の期間が経過しているにもかかわらず、サードパーティ製の3拡張機能にパッチが適用されていない点だ。BleepingComputerの報道によれば、OX Securityは脆弱性を発見後、各拡張機能のメンテナーに連絡を取ったが、「Live Server」「Code Runner」「Markdown Preview Enhanced」のメンテナーからは一切の返答がなく、修正も行われていない状態が続いているという。

一方、4つ目の「Microsoft Live Preview」は、バージョン0.4.16においてサイレント修正（告知なしの修正）が実施済みである。この対照的な対応は、Microsoftのような大企業が提供する公式拡張機能と、個人開発者などがメンテナンスするサードパーティ製拡張機能の間にある、セキュリティ対応におけるリソースと責任の格差を如実に示している。

開発者が取るべき即時対応

現在の状況を鑑みると、影響を受ける拡張機能を使用している開発者は、以下の対応を直ちに実施すべきである。

1. 「Live Server」「Code Runner」「Markdown Preview Enhanced」の使用を直ちに中止する。 未パッチの脆弱性が存在するため、継続的な使用は高いリスクを伴う。同等の機能を提供する他のセキュアな拡張機能や、ビルトイン機能への切り替えを検討する必要がある。
2. 「Microsoft Live Preview」を使用している場合は、最新版（バージョン0.4.16以降）に必ず更新する。 古いバージョンには依然として脆弱性が存在するため、自動更新が有効になっているか、手動で更新されているかを確認すべきだ。
3. 拡張機能の管理を見直す。 必要最小限の拡張機能のみをインストールし、特にダウンロード数が多くてもメンテナンスが活発に行われているかどうかを定期的に確認する習慣が重要となる。

拡張機能エコシステムに潜む持続的リスク

今回の事件は、VSCodeに限らず、豊富なプラグインや拡張機能を売りとする開発環境やツールに共通する根本的な課題を突きつけている。エコシステムの繁栄はコミュニティの貢献に支えられているが、その反面、セキュリティ確保の責任が分散し、メンテナーのやる気や能力、あるいは単に時間的な余裕に依存する部分が大きい。ひとたびメンテナーがプロジェクトから離脱したり、対応を怠ったりすれば、何千万ものユーザーが危険に晒され続けることになる。

開発者個人は、便利さだけを追求して拡張機能を追加するのではなく、そのセキュリティリスクを「自分事」として認識し、選択と管理を行う責任が強く求められる時代になったと言える。また、プラットフォームを提供する側にも、放置された脆弱性のある拡張機能をマーケットプレイスから迅速に隔離するなど、エコシステム全体の健全性を守るためのより積極的な役割が期待されるだろう。今回未パッチのままとなっている3件の拡張機能が今後どう扱われるかは、VSCodeエコシステムのセキュリティに対する本気度を測る一つの試金石となる。