VS Code人気拡張機能に重大脆弱性が発見
2026年2月16日、VS Codeの人気拡張機能4つに深刻なセキュリティ脆弱性が公開されました。累計インストール数は1億2,850万を超え、多くの開発者が影響を受ける可能性があります。
発見したのはOX Security社の研究者で、2025年6月〜8月にかけてメンテナーに報告しましたが、3つの拡張機能については2026年2月時点でもメンテナーからの応答がなく、パッチも未提供です。さらに、この脆弱性はVS CodeだけでなくCursorやWindsurf IDEでも同様に影響することが確認されています。

影響を受ける拡張機能と脆弱性の詳細
未修正の拡張機能(緊急対応必須)
以下の3つの拡張機能は2026年2月22日時点でパッチが提供されていません。使用している場合は即座に対応が必要です。
| 拡張機能名 | インストール数 | CVE番号 | CVSSスコア | 攻撃手法 |
|---|---|---|---|---|
| Live Server | 7,200万 | CVE-2025-65717 | 9.1(Critical) | 悪意あるWebページからローカルファイルを窃取 |
| Markdown Preview Enhanced | 850万 | CVE-2025-65716 | 8.8(High) | 細工されたMarkdownファイルでコード実行 |
| Code Runner | 3,700万 | CVE-2025-65715 | 7.8(High) | 設定ファイル改ざんによる任意コード実行 |
重要:これらの脆弱性はVS Codeだけでなく、CursorやWindsurf IDEでも同じ拡張機能を使用している場合に影響します。
各脆弱性の攻撃シナリオ
Live Server(CVE-2025-65717):最も深刻な脆弱性です。Live Serverを起動した状態で悪意あるWebページにアクセスすると、そのページに埋め込まれたJavaScriptがlocalhost:5500に対してリクエストを送信し、開発中のソースコード、.envファイル、APIキー、データベース設定などを外部サーバーに送信できてしまいます。つまり、開発中にブラウザで別のタブを開いているだけで情報が漏洩する可能性があります。
Markdown Preview Enhanced(CVE-2025-65716):細工された.mdファイルを開くだけでJavaScriptが実行され、ローカルマシンの開いているポートをスキャンされ、情報が外部に送信される可能性があります。GitHubやSlackで共有されたMarkdownファイルを何気なく開くだけで攻撃が成立する点が危険です。
Code Runner(CVE-2025-65715):settings.jsonの実行コマンド設定を悪用して、任意のコードを実行できます。攻撃者がフィッシングや悪意あるリポジトリの.vscode/settings.jsonを通じて設定を改ざんすると、開発者がコードを実行するたびにリバースシェルなどが起動するシナリオが考えられます。
修正済みの拡張機能
Microsoft Live Preview(1,100万インストール)にも同種のXSS脆弱性がありましたが、Microsoftが2025年9月にバージョン0.4.16でサイレントパッチを適用済みです。CVEは未採番ですが、修正済みなので最新版にアップデートすれば安全です。
今すぐ実施すべき3つの対応手順
脆弱性の影響を受けないために、以下の手順を今すぐ実施してください。VS Codeだけでなく、CursorやWindsurfを使っている方も同様の対応が必要です。
手順1: 拡張機能の確認
VS Codeで現在インストールされている拡張機能を確認します。
- VS Codeを開く
- サイドバーの拡張機能アイコンをクリック(またはCmd/Ctrl + Shift + X)
- 検索バーに「Live Server」「Code Runner」「Markdown Preview Enhanced」を入力
- インストール済みかどうか確認
Cursorの場合は、設定画面の拡張機能セクションから同様に確認できます。
手順2: 未修正拡張機能の無効化または削除
影響を受ける拡張機能が見つかった場合、パッチが提供されるまで一時的に無効化または削除してください。
無効化の方法:
- 拡張機能を右クリック
- 「無効にする」を選択
- VS Codeを再起動
削除の方法(代替案に移行する場合):
- 拡張機能を右クリック
- 「アンインストール」を選択
- VS Codeを再起動
手順3: Live Previewへの移行(Live Server利用者)
Live Serverを使用していた場合は、修正済みのMicrosoft Live Preview(バージョン0.4.16以降)に移行することを推奨します。
# VS Code拡張機能検索で以下をインストール
Microsoft Live PreviewLive Previewの特徴:
- Microsoftの公式拡張機能で継続的なセキュリティサポートあり
- Live Serverと同様のライブリロード機能
- XSS脆弱性が修正済み(入力値のサニタイズ処理を実装)
各拡張機能の代替案と移行方法
Live Serverの代替案
Live Server以外にも、安全にローカル開発サーバーを起動する方法があります。
1. Microsoft Live Preview(推奨)
前述の通り、脆弱性が修正済みの公式拡張機能です。
2. Viteの開発サーバー
# Viteをインストール
npm install -D vite
# 開発サーバー起動
npx viteViteは高速な開発サーバーで、必要な時だけ起動し、使用後は停止する運用が推奨されます。
3. Pythonの組み込みサーバー(シンプルなHTMLプロジェクト向け)
# プロジェクトディレクトリで実行
python -m http.server 8000Code Runnerの代替案
Code Runnerはコードスニペットを即座に実行できる便利な拡張機能ですが、以下の代替手段があります。
1. VS Codeのデバッグ機能
VS Code標準のデバッグ機能を活用することで、Code Runnerと同様の体験が得られます。
2. ターミナルでの直接実行
# JavaScript
node script.js
# Python
python script.pyMarkdown Preview Enhancedの代替案
1. VS Code標準のMarkdownプレビュー
VS Codeには標準でMarkdownプレビュー機能が搭載されています。Cmd/Ctrl + Shift + Vでプレビューを開けます。
2. Markdown All in One
セキュリティ対策がしっかりしたMarkdown拡張機能として評価されています。
なぜこの脆弱性が危険なのか:開発者のマシンは「宝の山」
IDE拡張機能の脆弱性が通常のWebアプリの脆弱性よりも深刻な理由は、開発者のマシンに集中する機密情報の量にあります。
開発マシンには、ソースコード、APIキー、データベース接続情報、環境変数(.envファイル)、AWSやGCPの認証情報、SSH鍵など、組織の最も重要な資産が保存されています。IDE拡張機能はこれらに対して広範なファイルアクセス権、ターミナル実行権、ネットワーク接続権を持って動作するため、1つの拡張機能が侵害されるだけで組織全体へのラテラルムーブメント(横展開)の起点になり得ます。
OX Security社は「悪意ある拡張機能が1つあれば、あるいは1つの拡張機能に脆弱性が1つあれば、横方向の移動を実行して組織全体を侵害するのに十分」と指摘しています。
セキュリティリスクを防ぐ日常的な対策
今回の脆弱性を教訓に、日常的にセキュリティリスクを減らす習慣を身につけましょう。
拡張機能の定期的な見直し
- 月に1回、インストール済み拡張機能のリストを確認
- 使っていない拡張機能は削除
- 信頼できる開発元(Microsoft、GitHub公式など)の拡張機能を優先
- 企業環境では拡張機能のホワイトリスト管理を検討
localhostサーバーは必要時だけ起動
開発サーバーを常時起動しておくのではなく、開発作業中のみ起動する習慣をつけましょう。Live Serverの脆弱性は、サーバーが起動中にブラウザで別サイトを開くだけで攻撃が成立するものでした。
- 作業終了後はサーバーを停止
- バックグラウンドで動作しているプロセスを定期的に確認
- ローカルファイアウォールで不要なインバウンド/アウトバウンド接続を制限
リポジトリのワークスペース設定を信用しない
Code Runnerの脆弱性は、.vscode/settings.jsonの改ざんが起点でした。未知のリポジトリをクローンして開く際は、ワークスペース設定の変更をコードレビューと同じ厳格さで確認すべきです。VS Codeの「Workspace Trust」機能を活用して、信頼できないリポジトリは制限モードで開きましょう。
拡張機能のアップデート確認
VS Codeの設定で自動アップデートを有効にしておくことを推奨します。
// settings.json
{
"extensions.autoUpdate": true,
"extensions.autoCheckUpdates": true
}まとめ:今すぐ実施するチェックリスト
- VS Code / Cursor / Windsurfの拡張機能一覧を開く
- Live Server、Code Runner、Markdown Preview Enhancedがインストールされているか確認
- 該当拡張機能を一時的に無効化または削除
- Live ServerユーザーはMicrosoft Live Preview(v0.4.16以降)に移行
- localhostサーバーは必要時だけ起動するよう運用変更
- 未知のリポジトリの.vscode/settings.jsonを安易に信用しない
- 拡張機能の自動アップデート設定を有効化
2026年2月22日時点で、Live Server・Code Runner・Markdown Preview Enhancedの3つは依然としてパッチ未提供です。メンテナーからの応答もない状況が続いており、修正の見通しは立っていません。該当拡張機能を使用している方は、代替手段への移行を強く推奨します。
VS Code開発環境をさらに強化する関連記事
VS Codeのセキュリティ対策を実施したら、開発環境全体の効率化・セキュリティ強化も検討しましょう。
AI開発支援ツール
- Claude Codeとは?AI搭載のコーディングアシスタントを徹底解説 – VS Codeと連携できるAIコーディング支援ツールで開発効率を向上
- Agent Bar – メニューバーからClaude Codeを直接実行できるMac専用開発者ツール – VS CodeからAIアシスタントを即座に呼び出せる便利ツール
開発環境の構築・最適化
- Docker ComposeでLaravel開発環境を構築する方法!3ステップで完成する実践ガイド – ローカル開発環境を安全に構築する手法
- VercelとRenderの選び方。Next.js?Nest.js?React+Vite?フレームワーク別の選択基準 – デプロイ環境のセキュリティも考慮した選択基準
セキュリティ・監視ツール
- Agent Monitor – AIボット・クローラーのサーバーサイド分析ツール – 開発環境への不正アクセスを監視
- HookWatch – Webhook監視を自動化するインディーハッカー向けモニタリングツール – API通信の異常を検知
