🔥 この記事の詳細
2026-06-03 更新
B
今週中

GitHub.dev(WebベースのVS Code環境)において、悪意のあるVS Code拡張機能をインストールさせることでGitHub OAuthトークンを窃…

脆弱性🌐 英語ソース
🖥️ 製品GitHub
📅 2026-06-03📰 hackernews
📌 一言でいうと
GitHub.dev(WebベースのVS Code環境)において、悪意のあるVS Code拡張機能をインストールさせることでGitHub OAuthトークンを窃取できる脆弱性が報告されました。攻撃者が用意したリンクを1クリックするだけで、プライベートリポジトリを含む全リポジトリへの読み書き権限を持つトークンが盗まれる可能性があります。この攻撃は、github.comからgithub.devへトークンが渡される際のメッセージ通信メカニズムを悪用します。
🔍該当判定
  • 社内でGitHubを利用してソースコードを管理している
  • ブラウザ上で動作するエディタ(github.dev / URLのgithub.comをgithub.devに書き換えて利用する機能)を使用したことがある
  • VS Code(Visual Studio Code)をインストールして開発業務を行っている
上記いずれにも該当しない → 静観でOK
該当時の対応
信頼できないソースからのリンクを介してVS Code拡張機能をインストールしないこと。また、不審なWebベースエディタへの誘導に注意し、GitHubのパーソナルアクセストークンの権限を最小限に制限することを推奨します。
📧 メール案を見る (社員向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【注意喚起】GitHubのWebエディタ利用時のセキュリティリスクについて

お疲れさまです。情報システム担当です。
GitHubのWeb版エディタ(github.dev)において、リンクを1回クリックして悪意のある拡張機能を導入させられることで、GitHubのアクセス権限(トークン)が盗まれる可能性があることが判明しました。

ご協力をお願いしたいこと:
1. 知らない相手から送られてきたリンクや、不審なVS Code拡張機能のインストールを絶対に避けてください。
2. Webブラウザ上でコード編集を行う際は、信頼できる環境であることを確認してください。

対応期限: 本日中
Subject: [Security Alert] Security Risk when using GitHub Web Editor

Hi everyone,
It has been reported that clicking a malicious link while using the web-based version of VS Code (github.dev) could allow an attacker to steal your GitHub access tokens.

What we need you to do:
1. Do not click on suspicious links or install VS Code extensions from untrusted sources.
2. Be cautious when using web-based code editors and ensure you are in a trusted environment.

Deadline: Immediate
🔗 元の記事を読む
← トップへ戻る🗓 2026-06-03 のまとめ🔍 記事を検索