昨年末からサプライチェーン攻撃が急増している。SolarWinds製品の脆弱性に起因するサイバーセキュリティインシデントは最近発生したサプライチェーン攻撃として最も有名なものと言える。このサイバーインシデントは今でも世界中の組織に影響を与え続けている。
サプライチェーン攻撃では、ソフトウェアの開発プロセスを通じて組織が危険にさらされることになる。Synkは5月26日(米国時間)、「Deep dive into Visual Studio Code extension security vulnerabilities|Snyk」において、サプライチェーン攻撃の新しい手法として「Visual Studio Code」のプラグインを利用する手口が発見されたと伝えた。プラグインを通じてビルドシステムやデプロイシステムを侵害することができると指摘している。
Visual Studio Codeは人気がある統合開発環境のひとつ。Microsoftによると、Visual Studio Codeのユーザーは1,400万人で、開発市場の約半数を占めると推測されている。Visual Studio Codeは特定のプログラミング言語の統合開発環境ではない。プラグインをインストールすることで、さまざまなプログラミング言語の開発環境になる。サイバー攻撃者はこのプラグインに目をつけたようだ。
開発マシンは製品にコミットするために重要な認証情報を保持していることがある。こうした認証情報が漏洩することは、サイバー犯罪者が製品のソースコードを複製したり、ソースコードそのものを変更できたりする危険性につながる。サイバー犯罪者にとって、Visual Studio Codeのプラグインは攻撃手口として魅力的なプラットフォームになっているということだ。
サプライチェーン攻撃は今後も増加することが予測されている。プラグインは、依存する他のプラグインもインストールするなど、意図していないプラグインの脆弱性を突かれる危険性もあり注意が必要。Visual Studio Codeプラグインを悪用したサイバー攻撃は今後増加する可能性がある。プラグインをインストールする時は、そのプラグインが信用できるものであるか評価した上で導入を行うことが望まれる。