VS Code拡張機能の脆弱性対策｜開発環境を守る実践ガイド

VS Codeの拡張機能にセキュリティリスクがあることをご存じですか。2025年から2026年にかけて、悪質な拡張機能が急増しています。実際、1億2500万以上のインストール数を持つ人気拡張機能にも深刻な脆弱性が発見されました。つまり、開発環境のセキュリティ対策が急務なのです。

最近発見されたVS Code拡張機能の重大な脆弱性

2026年に入り複数の脆弱性が報告されています。たとえば、Live Serverにはローカルファイル盗難の脆弱性がありました。また、Code Runnerにはリモートコード実行の問題が見つかっています。さらに、Markdown Preview Enhancedでも悪質なスクリプト実行が可能でした。

悪質な拡張機能の数も急増しています。具体的には、2024年の27件から2025年は105件に増加しました。なお、ランサムウェア型の拡張機能も出現しています。そのため、インストール時の慎重な判断が求められます。

開発環境を守るための実践的な対策

まず、信頼できる発行元を確認しましょう。特に、青いチェックマーク付きの拡張機能を選ぶことが重要です。また、評価やレビューを必ず確認してください。さらに、ソースコードが公開されているかどうかも判断材料になります。

加えて、定期的な監査も欠かせません。具体的には、不要な拡張機能を削除する習慣をつけましょう。しかし、拡張機能はVS Codeと同等の権限を持つことを忘れてはいけません。したがって、ファイルの読み書きやネットワーク通信も可能です。

Marketplaceの保護機能と今後の対策

Microsoftも対策を強化しています。たとえば、複数のアンチウイルスエンジンによる自動スキャンがあります。また、サンドボックスでの動的検証も行われています。しかし、それでもすべての脅威を防ぐことはできません。

だからこそ、開発者自身の意識が最も重要です。実際、たった1つの悪質な拡張機能で企業全体が侵害される可能性があります。とはいえ、基本的な対策を徹底すればリスクは大幅に軽減できます。このように、自衛の意識を持つことが開発環境を守る第一歩です。