GitHub：悪意あるVS Code拡張機能により内部リポジトリ約3,800件が侵害される

GitHubは2026年5月20日、2日前に発覚したセキュリティインシデントの詳細を公表しました。正体不明の攻撃者が、第三者製の悪意あるVS Code拡張機能が従業員のデバイスに感染したことを経由して、約3,800件のGitHub内部リポジトリにアクセスしました。同社は外部のフォレンジック専門家とともに調査を進めており、GitHubプラットフォーム上のユーザーデータが侵害された証拠はないと強調しています。

攻撃はどのように成功したのか？

GitHubの公表によると、その拡張機能はVS Code Marketplace（Microsoftの拡張機能レジストリ）で公開されており、従業員が通常のワークフロー用ツールとしてインストールしました。インストール後、拡張機能はデバイスから開発者の認証情報を窃取しました——おそらくOAuthトークン、SSHキー、またはキャッシュされたGit認証情報であり、これにより攻撃者は従業員のVPNの外からGitHub内部システムへの認証が可能になりました。

この攻撃ベクターは、近年npm、PyPI、RubyGemsを悩ませてきたソフトウェアサプライチェーン攻撃と同一のものですが、ランタイムパッケージマネージャーではなくIDEの拡張機能レイヤーを標的にしています。Microsoft VS Code Marketplaceは50,000以上の拡張機能をホストしており、その検証プロセスはこれまで主要な防衛ラインとして位置づけられていませんでした。

攻撃者がアクセスしたものは何か？

攻撃者はハッカーフォーラムへの投稿で約3,800件のGitHub内部リポジトリにアクセスしたと主張しており、GitHubの調査ではこれが自社の調査結果と整合していると評価しています。一部の内部リポジトリにはカスタマーサポートのコードスニペットや内部のビルド・インフラ・テストのアーティファクトが含まれています。本番ユーザーベース（ユーザーのコード、Issue、PR）は影響を受けていません。

GitHubは直ちに従業員のエンドポイントを隔離し、本番キーを最優先とした認証情報の緊急ローテーションを実施し、内部システムに対する不審なパターンの継続的モニタリングを開始しました。

AIコーディングツールへの広範な影響は？

このインシデントは、AIコーディングエージェント（Claude Code、Copilot agent mode、Cursor、Windsurf）が拡張機能やMCPサーバーを積極的に統合して機能を拡張している時期に発生しました。インストールされた拡張機能やMCPサーバーはいずれも、開発者の認証情報にアクセス可能な新たな攻撃ベクターとなります。IDEと同じプロセスで動作するツールチェーンは、ユーザー本人と同等の権限を持つことが多いためです。

GitHubは調査完了後に完全なポストモーテムを公表すると発表し、開発者コミュニティに対し拡張機能パブリッシャーへのより厳格な法的・技術的基準を求めています。具体的には必須コード署名、ランタイムサンドボックス化、認証情報アクセスへの明示的な権限付与などが挙げられますが、これらはいずれも現在のVS Code Marketplaceでは義務化されていません。