出典: The Hacker News – https://thehackernews.com/2025/10/eclipse-foundation-revokes-leaked-open.html
原題: Eclipse Foundation Revokes Leaked Open VSX Tokens Following Wiz Discovery
イクリプス財団、Open VSXトークン漏洩に迅速対応しサプライチェーン強化へ
オープンソースのVisual Studio Code(VS Code)拡張機能のマーケットプレイスを運営するイクリプス財団は、Open VSXプロジェクトにおいて漏洩したアクセス・トークンを速やかに無効化し、サプライチェーンのセキュリティ強化を進めています。これはクラウドセキュリティ企業Wizからの報告を受けた対応です。
主要なポイント
- トークン漏洩の発覚と対応:MicrosoftのVS CodeマーケットプレイスおよびOpen VSXの拡張機能において、開発者が誤ってアクセス・トークンをパブリックリポジトリに公開してしまい、悪用のリスクが判明。イクリプス財団は漏洩したトークンを即座に取り消しました。
- 漏洩はインフラ侵害ではなく開発者のミス:エクリプス財団のセキュリティ責任者ミカエル・バレロ氏は、漏洩はOpen VSXのシステム侵害によるものではなく、開発者の管理ミスであると明言しています。
- トークン管理の強化策:トークンのプレフィックス「ovsxp_」を導入し、パブリックリポジトリ内でのトークン検出を容易に。さらに、有効期限の短縮や自動スキャンによる悪意あるコードの検出も実施しています。
- マルウェア配布のリスクと対応:「GlassWorm」キャンペーンに関連する拡張機能は特定・削除済み。マルウェアは自己増殖型ではなく、拡散には開発者の認証情報の窃取が必要とされています。
- サプライチェーンセキュリティの共有責任:バレロ氏は、パブリッシャーとレジストリ管理者双方がトークン管理と検出・対応能力の向上に努める必要性を強調しています。
技術的な詳細や背景情報
Open VSXは、VS Codeの拡張機能をオープンに提供するマーケットプレイスであり、多数の開発者が利用しています。アクセス・トークンは拡張機能の公開や更新に必要な認証情報であり、これが漏洩すると悪意ある第三者が拡張機能を改ざんし、マルウェアを組み込む恐れがあります。
今回の漏洩は、開発者がGitHubなどのパブリックリポジトリにトークンを誤ってコミットしたことが原因です。これを受けて、Open VSXはトークンに「ovsxp_」というプレフィックスを付与し、漏洩検知ツールが特定しやすくしました。また、トークンの有効期限を短縮し、漏洩時の影響を最小限に抑える対策も導入しています。
さらに、拡張機能公開時には自動スキャンを実施し、悪意あるコードやシークレットの埋め込みを検出する仕組みを強化。これにより、サプライチェーン攻撃のリスクを低減しています。
影響や重要性
ソフトウェアのサプライチェーン攻撃は近年増加傾向にあり、開発者の認証情報が狙われるケースが多発しています。今回のインシデントは、拡張機能の信頼性を損ねる重大な問題であり、企業や個人ユーザーにとってもセキュリティリスクとなります。
イクリプス財団の迅速な対応とセキュリティ強化策は、オープンソースエコシステム全体の安全性向上に寄与します。また、サプライチェーンのセキュリティは開発者とプラットフォーム運営者双方の責任であることを再認識させる事例となりました。
まとめ
イクリプス財団は、Open VSXのアクセス・トークン漏洩問題を受けて迅速にトークンを無効化し、トークン管理の強化や拡張機能の自動スキャン導入など多角的なセキュリティ対策を講じています。今回の事例は、ソフトウェアサプライチェーンの安全性確保における開発者と運営者の共有責任を示す重要な教訓です。
今後もオープンソースコミュニティ全体でセキュリティ意識を高め、信頼できるソフトウェア環境の構築に努めることが求められます。
