7万人が被害：JetBrains公式マーケットプレイスの悪質プラグインがAI開発者の認証情報を狙う大規模サプライチェーン攻撃

2026年6月16日、セキュリティ企業のAikido Securityは、開発者の統合開発環境（IDE）から直接AIサービスの認証情報を窃取する、組織的なマルウェアキャンペーンを公表しました。攻撃者は公式の「JetBrains Marketplace」に少なくとも15個の悪質なプラグインを公開し、これらはAIコーディングアシスタントやコードレビューツール、Gitユーティリティなど、開発者にとって有益なツールを装っていました。これらのプラグインの累計インストール数は、キャンペーンが発覚するまでに7万回近くに達していたとみられています。

今回の事案は単発の悪質パッケージとは異なり、組織的かつ大規模なサプライチェーン攻撃の新たな段階を示すものです。7つの異なるベンダーアカウントが、同一の認証情報窃取コードを用いて開発者の最も重要な資産の一つ、すなわちOpenAIやDeepSeek、SiliconFlowといったAIプラットフォームのAPIキーを狙ったのです。

攻撃の仕組み

感染経路は、信頼されたエコシステム内でのソーシャルエンジニアリングに完全に依存していました。AIを活用した生産性向上ツールを探してJetBrains Marketplaceを閲覧していた開発者は、一見すると高評価のこれらのプラグインを目にしますが、その評価は偽の5つ星レビューによって水増しされたものでした。

インストール後、これらのプラグインはチャットやコミットメッセージの生成、単体テストなどの機能をうたい文句通りに提供するため、その悪意ある挙動は巧妙に隠蔽されていました。

APIキーの窃取メカニズムは極めて単純かつ効果的なものでした。開発者がAIプロバイダーのAPIキーをプラグインの設定画面に貼り付け、「適用（Apply）」をクリックした瞬間、そのキーは平文のまま、ハードコードされた攻撃者のサーバーへ即座に送信されていたのです。この流出は完全に無言で実行され、プラグインはその後も通常通り動作し続けるため、ユーザーが認証情報の窃取に気付くことはまずありませんでした。

Aikidoは攻撃者のあからさまな手口にも言及しています。マルウェアの亜種には有料ティアを設けているものさえあり、被害者が少額の料金を支払うと「動作する」APIキーが払い出される仕組みでしたが、このキーはほぼ間違いなく、別の被害者から窃取されたものでした。

タイムラインと被害規模

Aikidoの分析によると、これらの悪質なプラグインが最初に登場したのは2025年10月で、新たな亜種は直近の2026年6月まで公開され続けていました。つまり、このキャンペーンは公式マーケットプレイス上で、発見されるまでの8カ月以上もの間、稼働し続けていたことになります。

Aikidoが情報を開示した時点で、7つの不正なベンダーアカウントを通じて公開された15個のプラグインは、合計で約7万回のインストールを記録していました。この規模からAikidoは、本件がJetBrains Marketplaceへの侵入に成功した初の組織的なマルウェアキャンペーンである可能性が高いとみています。

なお、このJetBrainsのインシデントは単独で発生したわけではありません。同時期には、Claude CodeやCline、JetBrainsそのものの公式サイトを模倣した88以上の偽インストーラーサイトを構築し、Google広告を使って開発者を認証情報窃取型マルウェアへと誘導する別のキャンペーンも確認されていました。これらの作戦を合わせて考えると、AI開発者の「秘密」を狙った計画的かつ多面的な取り組みであることが明確になります。

激化するAI認証情報への攻撃

今回のJetBrains Marketplaceへの攻撃は、ソフトウェアサプライチェーン全体に広がる危険なトレンドの一端です。大規模言語モデル（LLM）のAPIキーは、それがもたらすアクセス権の大きさから、攻撃者にとって格好の標的となっています。キーが侵害されれば、莫大な推論費用を不正に生じさせたり、組織のプライベートモデルや内部データにアクセスされたり、接続されたクラウドインフラへの足がかりとして悪用される危険性があります。

2026年の早い時期には、週間約28,000ダウンロードを誇るnpmパッケージ「codexui-android」が、OpenAIの有効期限切れのないOAuthリフレッシュトークンを密かに窃取していたことが発覚しました。このパッケージは窃取したデータを、あたかも通常のSentryテレメトリ通信であるかのように偽装して送信していました。さらに2025年には、別のキャンペーンで141個のMastra npmパッケージが侵害され、インストール時に悪意あるコードが注入される事案も発生しており、開発エコシステムの脆弱性を改めて示しています。

IDEプラグインは特に「価値の高い」標的です。JetBrains環境のプラグインはIDEプロセスへのフルアクセス権で動作するため、ソースコードの読み取り、保存された資格情報へのアクセス、ファイルの改ざん、外部へのネットワーク接続開始などが技術的に可能です。悪意のあるプラグインは単なる理論上のリスクではなく、開発者が触れるあらゆるものへの現実的なバックドアなのです。ある事後分析が指摘するように、IDEに統合されたAIアシスタントは今や、**ソースコード、シークレット情報、SSHキー、クラウド認証情報のすぐ隣に座する「高度な特権を持つ自動化の接点」**と化しているのです。

開発者が今すぐ取るべき対策

ここ数カ月の間にAIアシスタント系プラグインを試した開発者が直面する最大のリスクは、自分のAPIキーがすでに攻撃者の手に渡っている可能性があるということです。Aikidoをはじめとするセキュリティ機関は、以下の緊急対策を推奨しています。

1. 影響を受けたAPIキーを直ちにローテーション（再発行）してください。
2025年10月から2026年6月の間にJetBrains MarketplaceからAIアシスタントプラグインをインストールし、APIキーを入力した場合は、キーが侵害されたと考えるべきです。AIプロバイダーの管理画面から新しいキーを生成し、古いキーは遅滞なく無効化してください。

2. インストール済みプラグインを徹底監査してください。
IDEの「設定（Settings/Preferences）」→「プラグイン（Plugins）」を開き、インストール済みリストを確認します。明示的に認識・信頼できないプラグインはすべて無効化するか、アンインストールします。削除後は必ずIDEを再起動し、悪意あるコードがメモリから完全に消去されるようにしてください。

3. 環境に予期せぬ変更が残っていないか確認してください。
プラグインをアンインストールしても、その影響が完全に元に戻るとは限りません。プラグインがIDEの設定やファイルを変更している可能性があるため、アンインストール後も想定外の設定変更や怪しいネットワーク挙動が持続していないか、念のためチェックしてください。

4. インストール前にプラグインの権限を精査してください。
特に、明確な理由なく広範なネットワークアクセス権限を要求するプラグインには、細心の注意を払ってください。たとえば、コード整形ツールが外部サーバーと通信する必要は本来ないはずです。

5. 有効期間が短く、権限範囲を絞ったAPIキーを採用してください。
AIプロバイダー側で可能であれば、キーを特定のプロジェクトやサービスのみに制限し、有効期限も必ず設定しましょう。また、課金ダッシュボードをこまめに監視し、不審な使用量の急増がないか確認してください。これは認証情報の不正利用を早期に察知する重要な手がかりとなります。

6. 不審なプラグインを報告してください。
もし予期せぬ挙動をするプラグインを見つけた場合は、JetBrains Marketplaceの該当プラグインのページから「プラグインを報告（Report Plugin）」をクリックし、プラットフォームのセキュリティチームに通報してください。こうしたコミュニティ全体での警戒が、サプライチェーン脅威に対する最も有効な防御策の一つとなります。