JetBrainsマーケットプレイスに悪意あるプラグイン15本——OpenAI・DeepSeekのAPIキーを70,000回窃取したキャンペーンの全貌

セキュリティ企業Aikido Securityは2026年6月、JetBrainsマーケットプレイスに公開されていた15本の悪意あるIDEプラグインを発見した。これらのプラグインはOpenAI、DeepSeek、SiliconFlowなどのAI APIキーをユーザーの設定から密かに窃取する仕組みを持ち、累計約70,000回インストールされていた。

何が起きたのか

Aikido Securityの調査によると、今回発見された15本のプラグインは7つのベンダーアカウントから公開されており、AIコーディングアシスタント、コードレビューツール、Gitユーティリティなど、開発者が日常的に使うカテゴリを装っていた。

プラグイン自体は「宣伝通りに動作する」ため、ユーザーが不審に思うきっかけが少ない。窃取が発生するタイミングは、ユーザーがプラグイン設定画面にAPIキーを入力して「Apply」ボタンをクリックした瞬間だ。その際、APIキーがHTTP経由でハードコードされたIPアドレス（39.107.60.51）に送信される。

最初のプラグインが公開されたのは2025年10月。2026年6月10日時点でも新しいプラグインが追加されており、8ヶ月以上にわたって継続的に活動していた。

「無料で使えるAPI」という罠

このキャンペーンには単なるAPIキー窃取以上の仕組みが潜んでいる。

プラグインには有料プランが組み込まれており、ユーザーが少額の寄付（ドネーション）を支払うと、サーバー側からAPIキーが「提供」される仕組みだ。Aikido Securityはこの点について、「無料ユーザーから収集したAPIキーを有料ユーザーに再配布している可能性がある」と指摘している。

正規のAIサービス運営者が、制限なしで動くAPIキーを外部に配布する理由はまったく存在しない。この「おかしな気前の良さ」こそが、攻撃者が他人のクレデンシャルを横流ししているという証左だ。

対象となった主要プラグイン

最もダウンロード数が多かったのは以下の2本だ：

• DeepSeek AI Assist（プラグインID: ord.cp.code.ai.kit）— 27,727回
• CodeGPT AI Assistant（com.my.code.tools）— 25,571回

その他、DeepSeek系ツールやAI FindBugs、AI Git Commitorなど計15本が確認された。BleepingComputerによる独自検証では、本記事執筆時点においても一部プラグインがJetBrainsマーケットプレイスから削除されていないことが確認されている。

実務への影響——今すぐやること

被害確認の手順

JetBrainsのIDEを使用している開発者は以下を確認してほしい。

• インストール済みプラグインの棚卸し: 上記15本のプラグインIDと照合する
• APIキーの即時無効化と再発行: 該当プラグインを使用していた場合、OpenAI・DeepSeek・SiliconFlowの管理コンソールでAPIキーを直ちに無効化する
• 使用量の監査: 窃取されたAPIキーが不正利用されていないか、過去の利用ログを確認する

組織レベルの対策

チームでAPIキーを管理している場合、以下も検討すべきだ：

• 開発者が個人でAPIキーをIDEプラグインに直接入力する運用を見直す
• APIキーにはレートリミットや用途スコープの制限を設定する
• 可能であればサーバーサイドのAPIプロキシを経由させ、開発者マシンにフルキーを渡さない構成にする

プラグインの信頼性評価

今後の予防策として、JetBrainsマーケットプレイスでプラグインをインストールする前に：

• ベンダーの公式サイト・GitHubが存在するか確認する
• 公開から日が浅い（数週間〜数ヶ月以内）プラグインは慎重に扱う
• ソースコードが公開されていないプラグインへのAPIキー入力を避ける

筆者の見解

セキュリティの話題はあまり得意ではないが、今回の件は技術的に興味深いポイントがいくつかある。

まず、このキャンペーンが「ちゃんと動くプラグイン」として実装されていた点だ。機能しないマルウェアはすぐ排除されるが、機能しながら裏で動く脅威は検出が難しい。開発者が「使えるツール」と認識している時点で、疑いのトリガーが発動しない。

もう一つは、AIサービスのAPIキーが「換金性の高いクレデンシャル」として明確に狙われるようになったという現実だ。OpenAIやDeepSeekのAPIキーは即座にコストに換算できるアセットであり、この種の攻撃は今後も増加していくとみるべきだろう。

Non-Human Identity（NHI）の管理という観点からも、APIキーは「機械のIDカード」に相当するアセットだ。その管理をプラグインベンダーの善意に委ねる設計は、そもそも構造として脆弱と言える。「APIキーは環境変数や秘密管理サービスで管理する」という原則が、IDEのプラグイン設定にも同様に適用されるべき時代になっている。組織のセキュリティポリシーに「AIサービスAPIキーの管理ルール」が含まれていない企業は、今回の件を契機に整備を検討してほしい。

JetBrains側の対応の遅さも気になる。BleepingComputerの取材に対して回答がなかったという事実は、マーケットプレイスの審査・監視体制に課題があることを示唆している。npmやPyPIと同様に、IDEプラグインマーケットプレイスも悪意あるコードの配布経路になりうることが、今回で改めて証明された。プラットフォームを提供する側の責任として、審査の強化と迅速な対応を期待したい。

出典: この記事は Malicious JetBrains Marketplace plugins steal AI API keys from developers の内容をもとに、筆者の見解を加えて独自に執筆したものです。