人気の拡張機能を模倣した偽の拡張機能を、多くの企業がインストールしてしまった。実験を通じて発覚した「セキュリティの穴」とは。
この記事は会員限定です。会員登録すると全てご覧いただけます。
ツールの拡張機能に紛れ込む悪意のあるコードは多くの企業にとって脅威となる。英語圏のユーザーを中心に利用されているブログサイト「Medium」で、ソースコードエディタ「Visual Studio Code」(以下、VSCode)の拡張機能を公開する「Visual Studio Marketplace」を対象としたセキュリティ調査の結果が発表された(注1)。
この調査では、まず「悪意のあるVSCodeの拡張機能を作成できるかどうか」と「悪意のある拡張機能をVisual Studio Marketplaceで公開できるかどうか」の2つを実施、評価した。その上で、Visual Studio Marketplaceで実際に偽の拡張機能をダウンロードする企業がどの程度あるかを実験した。この一連の調査はVSCodeおよびVisual Studio Marketplaceのセキュリティ設計の欠陥を明らかにすることを目的に実施された。
「悪意のあるVSCodeの拡張機能を作成できるかどうか」と「悪意のある拡張機能をVisual Studio Marketplaceで公開できるかどうか」について、この調査記事を執筆したアミット・アサラフ(Amit Assaraf)氏は「どちらも簡単にできた」と明かす。そればかりか、同氏を含むチームが作成したこの偽の拡張機能はVisual Studio Marketplaceのトップページにトレンドとして表示され、多くの企業がダウンロードした。
なぜ、偽の拡張機能がマーケットプレイスに紛れ込むことができたのだろうか。
「Darcula」と名付けられこの偽の拡張機能は、人気テーマ「Dracula Official」を模倣していた。Dracula Officialは魅力的なダークモードを提供する拡張機能として知られており、多くの開発者に愛用されている。
Visual Studio Marketplaceにおける脅威状況の主な調査結果は次のとおりだ。
VSCode拡張機能のセキュリティ設計の欠陥とその影響についての指摘は次の通りだ。
アサラフ氏はこれらの問題を踏まえ、VSCode拡張機能のセキュリティ対策を早急に改善すべきだと主張し、Microsoftは拡張機能の権限管理の実装やマーケットプレイスの管理体制の強化を検討する必要があると指摘する。開発者に対しては、VSCode拡張機能の利用に際して信頼できるソースからのインストールを心掛けるとともに、セキュリティリスクに注意を払うように求めている。
Copyright © ITmedia, Inc. All Rights Reserved.