何が起きたか
Microsoft は 2026 年 6 月 9 日に CVE-2026-40376 を Patch Tuesday の一部として開示し、VS Code 1.119.1 で修正されました。Visual Studio Code の Model Context Protocol (MCP) サーバー統合における不適切な入力検証により、認証されていないネットワーク攻撃者は、ユーザーのインタラクションを伴うことで、MCP サーバーの管理対象 ID に関連付けられたアクセス権限を取得できます。CVSS 3.1 基本スコアは 7.5 (AV:N/AC:H/PR:N/UI:R) です。Microsoft は悪用の可能性が低いと評価しており、開示時点で公開エクスプロイトや実際の悪用報告はありません。
なぜ重要か
VS Code は AI 開発者向けの主流 IDE であり、開発者と AI コーディングエージェント (GitHub Copilot、Claude Code 拡張機能、Cursor)、クラウド ID、および MCP ツールサーバー間のブローカーとしてますます使用されています。管理対象 ID は集中型の影響範囲を表します。MCP サーバーにスコープされたクラウドリソース (Azure、GCP、AWS) へのアクセス権を付与し、保存された認証情報を必要としません。管理対象 ID アクセス権を取得した攻撃者は、シークレットを読み取り、クラウド AI サービスを呼び出し、ベクトルデータベースにアクセスしたり、AI ワークロードインフラストラクチャにピボットしたりできます。これは世界で最も使用されている AI 開発環境における直接的な MCP サーフェス脆弱性です。
攻撃経路
ネットワークで到達可能な攻撃で、事前の特権は不要ですがユーザーのインタラクションが必要です。MCP サーバー境界での不適切な入力検証を悪用して、MCP サーバープロセスに割り当てられた管理対象 ID を偽装または継承します
影響を受けるシステム
Microsoft Visual Studio Code < 1.119.1 (すべてのプラットフォーム: Windows、macOS、Linux)、管理対象 ID を備えた MCP サーバー統合が構成されている場合
緩和策
VS Code をバージョン 1.119.1 以降に更新してください。すべての MCP サーバー統合を監査し、管理対象 ID のスコープ割り当てを確認します。MCP サーバー ID に最小権限を適用してください。MSRC アドバイザリ: https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-40376