何が起きたか
Microsoft は2026年6月9日に CVE-2026-40376 を Patch Tuesday の一部として公開し、VS Code 1.119.1 で修正されました。Visual Studio Code の Model Context Protocol (MCP) サーバー統合における入力値の不適切な検証により、認証されていないネットワーク攻撃者がユーザーインタラクションを伴うことで MCP Server のマネージド ID に関連するアクセス許可を取得できます。CVSS 3.1 ベーススコアは 7.5 (AV:N/AC:H/PR:N/UI:R) です。Microsoft は悪用の可能性が低いと評価しており、公開されたエクスプロイトや実際の悪用は開示時点で報告されていません。
なぜ重要か
VS Code は AI 開発者向けの支配的な IDE であり、開発者、AI コーディングエージェント (GitHub Copilot、Claude Code extensions、Cursor)、クラウド ID、MCP ツールサーバー間のブローカーとしてますます使用されています。マネージド ID は集中したブラスト半径を表します — ストアドクレデンシャルを必要とせずに MCP サーバーにスコープされたクラウドリソース (Azure、GCP、AWS) へのアクセスを許可します。マネージド ID のアクセス許可を取得した攻撃者は、シークレットの読み取り、クラウド AI サービスの呼び出し、ベクトルデータベースへのアクセス、または AI ワークロードインフラストラクチャへのピボットが可能です。これは世界で最も使用されている AI 開発環境における直接的な MCP サーフェス脆弱性です。
攻撃経路
事前の特権を必要としないがユーザーインタラクションを必要とするネットワークに到達可能な攻撃。MCP サーバーの境界における入力値の不適切な検証を悪用して、MCP Server プロセスに割り当てられたマネージド ID になりすましまたは継承する。
影響を受けるシステム
Microsoft Visual Studio Code < 1.119.1 (すべてのプラットフォーム: Windows、macOS、Linux) マネージド ID を使用した MCP Server 統合が構成されている場合
緩和策
VS Code をバージョン 1.119.1 以降に更新してください。すべての MCP Server 統合を監査し、マネージド ID スコープ割り当てを確認します — MCP サーバー ID に最小権限を適用します。MSRC アドバイザリ: https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-40376