Microsoftのセキュリティ設計にまたもや“穴” 多くの企業がダウンロードした「ニセの拡張機能」とは:セキュリティニュースアラート
人気の拡張機能を模倣した偽の拡張機能を、多くの企業がインストールしてしまった。実験を通じて発覚した「セキュリティの穴」とは。
ツールの拡張機能に紛れ込む悪意のあるコードは多くの企業にとって脅威となる。英語圏のユーザーを中心に利用されているブログサイト「Medium」で、ソースコードエディタ「Visual Studio Code」(以下、VSCode)の拡張機能を公開する「Visual Studio Marketplace」を対象としたセキュリティ調査の結果が発表された(注1)。
マーケットプレイスのトレンドに躍り出た「偽の拡張機能」
この調査では、まず「悪意のあるVSCodeの拡張機能を作成できるかどうか」と「悪意のある拡張機能をVisual Studio Marketplaceで公開できるかどうか」の2つを実施、評価した。その上で、Visual Studio Marketplaceで実際に偽の拡張機能をダウンロードする企業がどの程度あるかを実験した。この一連の調査はVSCodeおよびVisual Studio Marketplaceのセキュリティ設計の欠陥を明らかにすることを目的に実施された。
「悪意のあるVSCodeの拡張機能を作成できるかどうか」と「悪意のある拡張機能をVisual Studio Marketplaceで公開できるかどうか」について、この調査記事を執筆したアミット・アサラフ(Amit Assaraf)氏は「どちらも簡単にできた」と明かす。そればかりか、同氏を含むチームが作成したこの偽の拡張機能はVisual Studio Marketplaceのトップページにトレンドとして表示され、多くの企業がダウンロードした。
なぜ、偽の拡張機能がマーケットプレイスに紛れ込むことができたのだろうか。
「Darcula」と名付けられこの偽の拡張機能は、人気テーマ「Dracula Official」を模倣していた。Dracula Officialは魅力的なダークモードを提供する拡張機能として知られており、多くの開発者に愛用されている。
Visual Studio Marketplaceにおける脅威状況の主な調査結果は次のとおりだ。
- 1283の拡張機能に悪意のある既知の依存関係が含まれており、2024年6月時点で合計で2億2900万インストールされている
- 87の拡張機能がホストシステム上の/etc/passwdファイルを読み取ろうとする
- 8161の拡張機能にIPアドレスがハードコードされており、そのIPアドレスと通信している
- 1452の拡張機能で不明な実行可能バイナリーまたはDLLファイルが実行されている
- 2304の拡張機能は他で発行されたGithubリポジトリーを公式リポジトリーとして使用しており、模倣拡張機能である可能性がある
VSCode拡張機能のセキュリティ設計の欠陥とその影響についての指摘は次の通りだ。
- VSCodeの最も深刻な問題は拡張機能に権限管理がないことにある。Microsoftは拡張機能に特定の権限や可視性を与えておらず、その結果、全てのの拡張機能が自由にIDEのAPIアクションを実行できる。これによりユーザーの許可なしにコードを実行したり、ファイルを読み書きしたりする拡張機能が存在する
- 自動更新機能によるリスクも大きな懸念とされている。正当な拡張機能であっても、後に悪意のあるコードが追加される可能性がある
- VSCode拡張機能の活動に制限はなく、ホストマシンで実行される別のアプリケーションや実行可能ファイルとして動作させられる。子プロセスの生成、システムコールの実行、任意のNode.jsパッケージのインポートなどに制限がないため非常に危険であることが懸念される
- Visual Studio Marketplaceにも多くの問題がある。登録されているパブリッシャーは約45000あるが、認証済みのパブリッシャーはそのうち1800のみだ。拡張機能のリストページに表示される情報はpackage.jsonファイルから取得されるが、GitHubリポジトリーの所有を確認する仕組みはない。アップロードされたコードが実際のリポジトリーと一致するかどうかは確認されていない
アサラフ氏はこれらの問題を踏まえ、VSCode拡張機能のセキュリティ対策を早急に改善すべきだと主張し、Microsoftは拡張機能の権限管理の実装やマーケットプレイスの管理体制の強化を検討する必要があると指摘する。開発者に対しては、VSCode拡張機能の利用に際して信頼できるソースからのインストールを心掛けるとともに、セキュリティリスクに注意を払うように求めている。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
VeeamがSTaaS「Veeam Data Cloud Vault」を発表 書き換え不可のストレージでデータを保護
Veeam SoftwareはSTaaS(Storage-as-a-Service)「Veeam Data Cloud Vault」を発表した。このサービスは不変で暗号化された形式で安全にデータを保管することで、ランサムウェアをはじめとした脅威から保護する。
複数のAzureサービスに深刻な脆弱性が見つかる 推奨される対策は?
Tenableが複数のAzureサービスに深刻な脆弱性があると報告した。これによって、攻撃者はサービスタグを利用してファイアウォールルールを回避できる可能性がある。
経営幹部にセキュリティの価値を効果的に伝えるには? SIEMレポートの役立つ使い方
LogRhythmは、セキュリティの価値を経営幹部に報告する方法を伝えた。ややこしいセキュリティ施策を効果的に説明するにはどうすればよいのだろうか。
クラウドストライクとCloudflareが戦略的提携を拡大 SOCの変革を促進
クラウドストライクはCloudflareと提携を拡大する。Cloudflare OneとCrowdStrike Falcon Next-Gen SIEMを単一のプラットフォームに統合し、管理者負担の低減やセキュリティ強化、SOCの変革促進、大規模なサイバー攻撃の阻止を実現する。