Microsoft Defender の失敗: VSCode 拡張機能の失態を内部から見る
今朝、Microsoft Defender が特定の PC 監視およびファン制御アプリケーション内の Winring0 ドライバーを誤って悪意のあるものとして識別するという重大なインシデントについて報告しました。当初は単なる誤認のケースのように見えましたが、状況はより複雑なものであることが明らかになりました。
Visual Studio Code 拡張機能の誤分類
注目すべきは、この問題は Winring0 ドライバーだけにとどまらないことです。Visual Studio Code (VSCode) の拡張機能のいくつかは、潜在的に有害であるとのフラグが立てられ、最近 Visual Studio マーケットプレイスから削除されました。
問題の根源: コードの難読化
この混乱の核心は、2 つの特定のテーマ、「Material Theme – Free」と「Material Theme Icons – Free」に見つかった難読化されたコードにありました。難読化は、サイバー犯罪者が悪意を隠すためによく使用する手法であり、Microsoft は慎重を期すよう促されました。その結果、監視チームはすぐに発行者のコードにフラグを付けてレビューするようにしました。
Microsoft の対応と解決策
さらに調査を進めると、難読化は悪意のある行為を示すものではないことが明らかになりました。マイクロソフトの開発者コミュニティ担当副社長であるスコット・ハンセルマン氏は、この見落としを公に認め、混乱について謝罪しました。同氏は、フラグが付けられた拡張機能の両方が市場に復帰したことを確認しました。同氏は次のように述べています。
誤検知は最悪ですし、それが起こると痛い目を見ます。
Material Theme および Material Theme Icons (Equinusocio) のパブリッシャー アカウントは誤ってフラグが付けられましたが、現在は復元されています。安全のために迅速に対応しましたが、失敗しました。これらのテーマは Microsoft 内で複数のマルウェア検出インジケーターを発動し、調査で誤った結論に達したため削除しました。VS Code エコシステムのセキュリティを非常に重視しており、ユーザーを保護するために迅速に行動しました。
「Equinusocio」拡張機能の作者の苛立ちと激しい反応は理解できますし、私たちもあなたの声に耳を傾けています。これは悪いことですが、このようなことは時々起こります。私たちは最善を尽くします。私たちも人間ですから、この状況から抜け出したいと考えています。難読化されたコードに関するポリシーを明確にし、スキャナーと調査プロセスを更新して、このような事態が発生する可能性を減らします。これらの拡張機能は安全であり、VS Code コミュニティで利用できるように復元されました。
詳細情報
このインシデントの詳細にご興味がある方は、Visual Studio Marketplace の公式 GitHub リポジトリにアクセスしてください。ここに問題が記載されています。
このトピックに関する追加情報については、ここにあるソース記事をご覧ください。
コメントを残す ▼