GitHubアクセストークンがリンク1回クリックで盗まれる脆弱性（github.dev / VS Code Webview）

概要

GitHubのブラウザ版開発環境「github.dev」において、細工されたリンクをクリックするだけでGitHubの認証トークンが盗まれる可能性がある脆弱性が、セキュリティ研究者のアマル・アスカール氏により報告された。Microsoftは2026年6月3〜4日に修正を適用済み。

脆弱性の仕組み

1. github.devはOAuthトークンをgithub.comから受け取り、GitHub APIを操作する
2. VS CodeのWebview（MarkdownプレビューやJupyter Notebook表示に使う隔離領域）が、スクリプトが作り出したキーボード操作をVS Code本体に転送できた
3. 攻撃者が用意した悪意あるJupyter NotebookをリンクからIDくgithub.devで開かせると、JavaScriptがショートカット操作を偽装
4. ワークスペース推奨拡張機能の仕組みを利用して攻撃者の拡張機能をインストールさせ、GitHub APIトークンと非公開リポジトリ一覧を取得可能

攻撃の特徴

• ワンクリック攻撃: リンクを1回クリックするだけで攻撃が完結
• デスクトップ版VS Codeでも同種の問題があるが、リポジトリのクローンとNotebookを開く操作が必要で難易度が高い
• github.devはURLを変えるだけで開けるため、攻撃の敷居が低い

修正内容（Microsoft）

• 2026年6月3日: ブラウザ版Notebookを開く際に信頼確認を追加、拡張機能インストールコマンドで任意の呼び出し元情報を受け付けないよう変更
• 2026年6月4日: Webviewから送られるキー操作・クリック操作について、スクリプト生成の信頼できないイベントを転送しない修正を追加

参照

• 出典: GIGAZINE（2026/06/04）
• 技術詳細: Ammar's Blog
• はてなブックマーク数: 28