出典: The Hacker News – https://thehackernews.com/2025/10/eclipse-foundation-revokes-leaked-open.html
原題: Eclipse Foundation Revokes Leaked Open VSX Tokens Following Wiz Discovery
イクリプス財団、Open VSXトークン漏洩に対応しサプライチェーン強化を実施
オープンソースのVisual Studio Code(VS Code)拡張機能を管理するOpen VSXプロジェクトで、アクセストークンの漏洩が発覚しました。イクリプス財団は迅速に漏洩トークンを無効化し、サプライチェーンセキュリティの強化策を講じています。
主要なポイント
- アクセストークン漏洩の発覚と対応:クラウドセキュリティ企業Wizの報告により、VS CodeマーケットプレイスおよびOpen VSXの拡張機能でアクセストークンが誤って公開リポジトリに露出していたことが判明。イクリプス財団は漏洩したトークンを即座に無効化しました。
- 漏洩原因は開発者のミス:Open VSXのインフラ自体の侵害ではなく、開発者がトークンを誤って公開したことが原因とされています。
- 新たなセキュリティ対策の導入:トークンの接頭辞「ovsxp_」の導入や、トークン有効期限の短縮、自動スキャンによる悪意あるコード検出など、複数の強化策を実施しています。
- マルウェア配布リスクと対応:「GlassWorm」と呼ばれるマルウェアキャンペーンに関連する拡張機能は削除済み。マルウェアは自己増殖型ではなく、開発者の認証情報を盗む必要があるため、感染拡大のハードルは高いと説明されています。
- サプライチェーンセキュリティの共有責任:パブリッシャーとレジストリ管理者双方がトークン管理と検知・対応能力の向上に努める必要があると強調されています。
技術的な詳細や背景情報
アクセストークンは、拡張機能の公開や更新を行う際の認証情報として機能します。これが漏洩すると、第三者が不正に拡張機能を改変し、マルウェアを組み込むリスクが生じます。Open VSXは、マイクロソフトのVS Codeマーケットプレイスに対抗するオープンな拡張機能レジストリであり、多数の開発者が利用しています。
今回のインシデントでは、公開リポジトリにトークンが誤って含まれていたため、悪意ある攻撃者がこれを悪用する可能性がありました。イクリプス財団は、トークンの接頭辞「ovsxp_」を導入し、漏洩トークンの検出を容易にするとともに、有効期限の短縮や自動スキャンによる早期発見を実現しています。
また、マルウェア「GlassWorm」は自己増殖型ではなく、感染拡大には開発者の認証情報の窃取が必要なため、被害の拡大は限定的と考えられています。
影響や重要性
拡張機能は多くの開発者や企業ユーザーに利用されており、サプライチェーンを通じた攻撃は大規模な被害をもたらす可能性があります。今回のインシデントは、開発者のミスがサプライチェーン全体のセキュリティリスクに直結することを示しています。
また、トークン管理の不備は攻撃者にとって侵入の足掛かりとなるため、適切な管理と監視体制の構築が急務です。イクリプス財団の対応は、オープンソースコミュニティ全体にとっても重要な教訓となります。
まとめ
イクリプス財団は、Open VSXのアクセストークン漏洩問題に対し迅速にトークンを無効化し、複数のセキュリティ強化策を導入しました。今回の事例は、ソフトウェアサプライチェーンのセキュリティが開発者とレジストリ管理者双方の責任であることを改めて示しています。
今後も開発者はトークンの取り扱いに細心の注意を払い、レジストリ管理者は検知・対応能力を高めることが求められます。オープンソースの信頼性を守るため、継続的なセキュリティ対策の強化が不可欠です。
