VS Code拡張機能のLive Serverは使い続けて安全ですか？

2026年2月時点でCVE-2025-65717（CVSSスコア9.1）は未修正です。使い続ける場合は、Live Server動作中に不審なURLを開かない、作業終了後は必ず停止する、コーディングと無関係なブラウジングは別プロファイルで行うなどの対策が必要です。代替としてMicrosoft公式のLive Preview（修正済み）やViteの開発サーバーも検討してください。

VS Code拡張機能の脆弱性を確認する方法はありますか？

VS Codeの拡張機能パネル（Cmd+Shift+XまたはCtrl+Shift+X）でインストール済み拡張機能の一覧とバージョンを確認できます。NVD（National Vulnerability Database）で拡張機能名やCVE番号を検索すると、最新の脆弱性情報を確認できます。

Live Serverの代わりに使える拡張機能はありますか？

Microsoft公式の「Live Preview」（v0.4.16以降で脆弱性修正済み）が代替候補です。また、ViteやFive Serverなど拡張機能に依存しない開発サーバーを使えば、ライブリロード機能を維持しつつリスクを回避できます。

Dev Tools 2026年2月19日 2026年3月24日更新 16分で読める

VS Code拡張機能の脆弱性まとめ｜Live Server・Code Runnerの対策【2026年2月】

#VS Code #セキュリティ #脆弱性 #CVE #拡張機能 #開発環境 #Live Server #Code Runner

この記事はこんな人におすすめ

VS Codeを日常的に使っているエンジニア・開発者
Live Server・Code Runner・Markdown Preview Enhancedをインストールしている方
チームの開発環境セキュリティを管理・共有する立場の方

要点: (1) Live Server・Code Runner・Markdown Preview Enhancedに未修正の重大脆弱性、(2) CVSSスコア最大9.1で悪用に特別な条件がほぼ不要なレベル、(3) 対策はアンインストール・代替ツールへの移行・運用回避の3択

朝のコーディングを始める前に確認してほしいことがある。

OX Securityの研究チームが2026年2月16日に公開した調査によれば、VS Codeの人気拡張機能4本（合計1億2,500万インストール以上）に重大な脆弱性が発見された。うち3本は現在も未修正のままだ。

あなたのVS Codeにもインストールされている可能性は高い。

影響を受ける拡張機能と脆弱性の概要

拡張機能	CVE	CVSSスコア	インストール数	修正状況
Live Server	CVE-2025-65717	9.1（Critical）	7,200万+	未修正
Markdown Preview Enhanced	CVE-2025-65716	8.8（High）	850万+	未修正
Code Runner	CVE-2025-65715	7.8（High）	3,700万+	未修正
Microsoft Live Preview	—	—	1,100万+	修正済み（v0.4.16）

合計で約1億2,500万回インストールされた拡張機能が対象になっている。

CVSSスコアは脆弱性の深刻度を0〜10で示す業界標準の指標だ。7.0以上が「High（重大）」、9.0以上が「Critical（致命的）」に分類される。Live Serverの9.1は、攻撃に高度な技術や特殊な条件がほぼ不要であることを意味する。

各脆弱性の詳細

CVE-2025-65717 ｜ Live Server（未修正・Critical）

CVSSスコア: 9.1 / インストール数: 7,200万以上

Live Serverを起動した状態で、攻撃者が送りつけた悪意ある URLを開くだけで発動する。悪意ある JavaScript がローカル HTTP サーバーに接触し、開発環境内のファイルを攻撃者のサーバーへ送信する。

「メールで届いたリンク」「Slackで共有されたURL」「Discordのコード共有リンク」。そういった日常的な動線が攻撃経路になる。

修正は2026年2月時点で存在しない。

CVE-2025-65716 ｜ Markdown Preview Enhanced（未修正・High）

CVSSスコア: 8.8 / インストール数: 850万以上

細工された Markdown ファイルを開くだけで、任意の JavaScript が VS Code のコンテキストで実行される。ローカルポートのスキャン、認証情報の収集、外部への情報送信が可能になる。

「GitHubのissueから貼り付けたサンプルMD」「チームで共有しているドキュメント」。どこから来たファイルかを意識する必要がある。

こちらも未修正。

CVE-2025-65715 ｜ Code Runner（未修正・High）

CVSSスコア: 7.8 / インストール数: 3,700万以上

settings.json を改ざんすることで任意コードが実行される。技術フォーラムやQ&Aサイトに掲載された「このsettings.jsonを追加してください」という指示に従った場合が攻撃経路になりうる。

技術系コミュニティで見かける設定スニペットを、出所を検証せずコピーする習慣がある開発者は要注意だ。

Microsoft Live Preview（修正済み）

MicrosoftはXSS脆弱性を2025年9月11日のv0.4.16で修正した。ただし、研究者への通知は行われなかった。まだ古いバージョンを使っている場合はアップデートが必要だ。

なぜ拡張機能の脆弱性は危険なのか

VS Code拡張機能が通常のWebサイトより危険な理由は、その権限の広さにある。

OX Securityは拡張機能を「ミニ管理者」と表現している。Webブラウザのサンドボックス内で動くJavaScriptとは異なり、VS Code拡張機能はOSのファイルシステム、ネットワーク、実行環境に直接アクセスできる。

攻撃の起点は開発端末ひとつであっても、そこからソースコード、API鍵、データベース接続情報、CI/CDパイプラインの認証情報へと侵害が広がるリスクがある。フリーランスであれば自分の資産が、受託開発であればクライアントの資産が対象になる。サプライチェーン攻撃の起点になる可能性もゼロではない。

フリーランスの開発環境をセキュリティ面も含めて整えたい方は、「リモートワーク環境構築ガイド」も参考にしてほしい。また、日々の開発で使うAIツールの選定については「フリーランスエンジニアが本当に使っているAIツール10選」でまとめている。

発見から公開までの経緯

日付	出来事
2025年6月	OX Securityが3つのメンテナーに通知開始
2025年6月〜	Live Server、Code Runner、Markdown Preview Enhancedのメンテナーからの応答なし
2025年9月11日	MicrosoftのみLive Previewを修正（研究者への通知なし）
2026年2月16日	CVEアサイン・全件公開開示

通知から8ヶ月以上経過しても、3本の拡張機能は未修正のままだ。メンテナーからの応答がないということは、修正の見通しも立っていない。

今すぐ取るべき対策

まず自分が影響を受けるか確認する

Live Server をインストールしている → CVE-2025-65717 の影響あり（未修正）
Markdown Preview Enhanced をインストールしている → CVE-2025-65716 の影響あり（未修正）
Code Runner をインストールしている → CVE-2025-65715 の影響あり（未修正）
Microsoft Live Preview をインストールしている → v0.4.16以上か確認

確認はVS Codeの拡張機能パネル（Cmd+Shift+X / Ctrl+Shift+X）で1分でできる。対策は複雑ではない。

即座に対応すること

Microsoft Live Preview を使っているなら、バージョンをv0.4.16以上に更新する
使っていない拡張機能はアンインストールする（インストールしたままの拡張機能は攻撃面を広げる）

Live Serverを使い続ける場合

Live Server動作中は不審なURLを絶対に開かない
コーディング作業と無関係なブラウジングは別のブラウザプロファイルで行う
作業終了後はLive Serverを停止する

Live Serverの代替を検討する

修正の見通しが立っていない以上、代替ツールへの移行も現実的な選択肢だ。

Microsoft Live Preview（VS Code拡張機能）。今回の調査で唯一修正済み。ブラウザを開かずVS Code内でプレビューできる
Vite。フロントエンド開発なら npm create vite で高速な開発サーバーが手に入る。Hot Module Replacement対応
Five Server。Live Serverのフォークで、同様のライブリロード機能を提供する

拡張機能に依存しない開発サーバーを使えば、今回のような拡張機能起因のリスク自体を回避できる。

Markdown Preview Enhancedを使い続ける場合

出所が不明確なMarkdownファイルは開かない
外部から受け取ったドキュメントはプレビューより先にテキストで確認する

Code Runnerを使い続ける場合

settings.json に貼り付けるスニペットは出典を確認してから使う
フォーラムやチャットの設定コードはそのままコピーしない

チーム・組織での対応

個人の対策だけでなく、チームとして動く必要があるケースも多い。

使用状況の棚卸し: チームメンバーに該当拡張機能のインストール状況を確認する。VS Codeのターミナルから code --list-extensions で一括確認できる
推奨拡張機能リストの更新: プロジェクトの .vscode/extensions.json から該当拡張機能を除外する。代替ツールがあれば推奨リストに追加する
ワークスペースの信頼設定: VS Codeの「Workspace Trust」機能を活用し、信頼できないフォルダでの拡張機能実行を制限する

拡張機能への依存を減らす選択肢として、CLIベースのAIコーディングツールがある。VS Code拡張としてではなくターミナルから動作するため、拡張機能の権限問題とは無縁だ。

今回の問題は「危険な拡張機能を意図的に使った」ケースではない。7,200万回インストールされた定番ツールが、通常の開発ワークフローの中で脆弱性を持っていた。そして3本は今も修正されていない。

拡張機能を使うこと自体は問題ではない。問題は、インストールした拡張機能が何をできるかを把握せずに使い続けることだ。

VS Codeをもっと安全に使うために

拡張機能の権限確認やワークスペースの信頼設定は公式ドキュメントで確認できる。

VS Code セキュリティドキュメント →

本記事の情報は2026年2月20日時点の公開情報に基づいています。脆弱性の修正状況やCVSSスコアは随時変更される可能性があります。最新情報は各拡張機能のGitHubリポジトリおよびNVD（National Vulnerability Database）でご確認ください。本記事はセキュリティに関する情報提供を目的としており、脆弱性の悪用を助長する意図はありません。掲載内容に基づく行動の結果について、筆者は一切の責任を負いません。

Sources: