セキュリティ企業 Aikido Security は2026年6月16日、JetBrains Marketplace 上で組織的なマルウェアキャンペーンを検出したと発表した。7つのベンダーアカウントから公開された少なくとも15個のIDEプラグインが、ユーザーが設定画面に入力したOpenAI、SiliconFlow、DeepSeek などのAPIキーを、攻撃者が管理するサーバー 39.107.60[.]51 へ平文HTTPで送信していた。
各プラグインは DeepSeek 等の大規模言語モデルを基盤としたAIコーディングアシスタントを装い、チャットやコードレビューなどの機能を提供する。最古のバージョンは2025年10月末に登場し、2026年6月時点でも新規がリリースされていた。15個の合計ダウンロード数は7万件近くに上るが、これはダウンロード数であり、実際の被害者数は確定していない。これらは有料ティアも運用し、支払ユーザーにサーバーからキーを返す挙動も確認された。
報告を受けた JetBrains は、全15プラグインの削除と7つの発行者アカウントの永久停止、リモートでの無効化を実施したと発表している。
From: 
Multiple JetBrains IDE plugins caught stealing AI keys
【編集部解説】
今回の事案は、Aikido Security の研究者イリヤス・マカリ氏が報告したものですが、BleepingComputer は記事公開時点で、最新版の「DeepSeek AI Assist」(プラグインID: ord.cp.code.ai.kit)のコードに、報告どおりの認証情報窃取機能が含まれていることを独自に確認しています。その後、JetBrains は2026年6月16日に報告を受け、15個のプラグインをMarketplaceから削除し、関連する7つの発行者アカウントを永久停止したと公式に発表しました。つまり、これは一社の主張にとどまらず、第三者の追試とプラットフォーム提供元の公式対応によって裏付けられた事案だと言えます。
まず押さえておきたいのは、このマルウェアの「巧妙さ」がどこにあるかという点です。従来のマルウェアは、動作が不審だったり、約束した機能を果たさなかったりすることで疑いを招きました。しかし今回のプラグインは、チャットやコードレビューといった宣伝どおりの機能を提供します。利用者から見れば「ちゃんと使える便利なツール」であり、だからこそ窃取に気づきにくいのです。
技術的に注目すべきは、窃取の発火条件です。Aikido が示したコードでは、入力された文字列が「sk-」で始まり、かつ長さが51文字のときにのみキーを送信します。これは一部の OpenAI APIキーに見られる古典的な形式に一致します。標的を絞り込むことで、無関係なデータを送らず、検出のリスクを下げる狙いがうかがえます。
さらに JetBrains の公式分析では、より巧妙な回避手法も明らかになりました。プラグインはJVM全体に独自の X509TrustManager を仕込み、TLSの警告を無効化することで、ローカルのネットワーク監視やIDEのデバッガーに不審な通信を気づかせないようにしていたのです。「ちゃんと動く」という表の顔の裏で、検出回避の仕掛けが何重にも施されていたことになります。
この攻撃の本質を理解する鍵が「LLMjacking(エルエルエムジャッキング)」という概念です。これは、暗号資産を不正に採掘する「クリプトジャッキング」のAI版とも言える手口で、盗んだAPIキーを使って攻撃者が他人の費用で生成AIの計算資源を使い倒す、あるいは闇市場で転売するものです。この用語はセキュリティ企業 Sysdig の脅威調査チームが2024年5月に提唱しました。今回確認された「有料ティアで支払ったユーザーにサーバーがキーを返す」という奇妙な挙動について、Aikido はそのキーが他の利用者から盗んだものである可能性を指摘しています。事実であれば、この転売モデルの実装例ということになります。
被害が金銭面に直結する点も見逃せません。LLMjacking では、盗まれたキーが数時間で巨額の請求を生むケースが報告されています。たとえば2026年初頭には、ある開発者が盗まれた Gemini のキーによって48時間で約8万2000ドル(1ドル=150円換算で約1230万円)を課金された事例が報じられました。被害者の所在については、メキシコの開発会社とする報道とベトナムの個人開発者とする報道があり、出典間で食い違いがあります。いずれにせよ、通常は月180ドル程度だった利用が、わずか2日足らずで爆発的に膨らんだとされます。被害者は気づかぬうちに、他人の計算コストを肩代わりさせられるわけです。
なぜ開発環境(IDE)が狙われるのか、という構造的な問題もあります。IDEは開発者が一日中開いたまま信頼して使うツールであり、その内部にはソースコード、クラウドの認証情報、署名鍵が集まっています。そして近年、ここに「有料AIサービスのAPIキー」という、換金性が極めて高い資産が加わりました。プラグインがサンドボックス(隔離環境)なしで高い権限のまま動く点も、攻撃者にとって好都合です。
審査の限界という論点も重要です。JetBrains は新規プラグインや更新に手動レビューを課していますが、同社自身が認めるように、従来の検証ツールは互換性やAPI利用の分析が中心で、専用のデータフロー解析やマルウェアスキャナではありませんでした。そのため、正常に見えるAPI呼び出しの中に紛れた悪性ロジックは、すり抜けてしまったのです。これは VS Code 系の拡張機能を狙う「GlassWorm」など、エディタ拡張機能を狙う一連のサプライチェーン攻撃と地続きの問題で、特定のプラットフォーム固有の欠陥というより、マーケットプレイス審査モデル全体が抱える構造的な課題と捉えるべきでしょう。
規制と今後への影響という観点では、この種の脅威は「機械のアイデンティティ」をどう管理するかという、より大きな問いを突きつけます。長期間有効な静的キーをツールに貼り付ける運用そのものがリスクであり、業界はプロジェクト単位でのキー発行、利用範囲の制限、短命トークンへの移行を迫られています。JetBrains 自身も、再発防止策として新たな検査ルールの導入や、Zed と共同で策定した「ACP(Agent Client Protocol)」のような、より隔離された連携の標準化を打ち出しました。AIが開発の標準ツールになるほど、APIキーは「便利な鍵」から「狙われる資産」へと性質を変えていきます。今回の事案は、その転換点を象徴する出来事だと位置づけられます。
【用語解説】
IDE(統合開発環境)
コードの記述、実行、デバッグなどを一括で行う開発者向けのソフトウェア。JetBrains 製品群(IntelliJ IDEA など)がその代表例。本文では、このIDEに後付けする拡張機能(プラグイン)が攻撃の入り口となった。
TLS/X509TrustManager
TLSは通信を暗号化し、相手の正当性を検証する仕組み。X509TrustManager はJavaでその証明書検証を担う部品。本事案では、これを悪用して証明書の警告を無効化し、不審な通信を隠していた。
GlassWorm(グラスワーム)
VS Code 系の拡張機能(Open VSX など)を悪用したサプライチェーン攻撃キャンペーンの名称。本記事では、エディタ拡張機能を狙う攻撃の事例として引き合いに出されている。
ACP(Agent Client Protocol)
JetBrains が Zed と共同で策定した、AIエージェントとエディタが連携するためのオープン標準。従来のプラグインより通信を構造化し、攻撃の入り口を減らすことを狙う。
【参考リンク】
Aikido Security(外部)
本事案を検出・報告したベルギーのセキュリティ企業。コード、クラウド、実行環境を一元的に保護するプラットフォームを提供する。
JetBrains(外部)
IntelliJ IDEA などの開発ツールを手がける企業。本事案の舞台となった JetBrains Marketplace を運営している。
JetBrains Marketplace(外部)
JetBrains 製IDE向けのプラグインを配布する公式マーケットプレイス。新規プラグインには手動の審査プロセスが設けられている。
OpenAI(外部)
ChatGPT やAPIを提供する米国のAI企業。本事案で窃取対象となったAPIキーの主要プロバイダーの一つ。
DeepSeek(外部)
中国発の大規模言語モデルを開発する企業。悪性プラグインの多くがこの名称を冠し、AIアシスタントを装っていた。
SiliconFlow(外部)
各種AIモデルへのAPIアクセスを提供するプラットフォーム。本事案で窃取対象に挙げられたプロバイダーの一つ。
BleepingComputer(外部)
セキュリティ分野で信頼性の高い米国の技術メディア。本事案で悪性プラグインのコードを独自に追試・検証した。
Sysdig(外部)
クラウドセキュリティを手がける米国企業。2024年5月に「LLMjacking」という用語を最初に提唱した脅威調査チームを擁する。
【参考記事】
JetBrains Marketplace Ecosystem Security Update: Addressing Malicious Third-Party AI Plugins(外部)
JetBrains公式の対応発表。15個の削除、7アカウント停止、リモート無効化と推奨対応を説明した記事である。
Malicious JetBrains Marketplace plugins steal AI API keys from developers(外部)
最新版プラグインを独自解析し、記事公開時点で窃取コードが含まれ入手可能だったと確認した記事である。
Malicious JetBrains Plugins Steal AI API Keys as Chrome Extensions Capture Chatbot Chats(外部)
活動期間や主要プラグインのダウンロード数を整理し、本事案をLLMjackingの文脈に位置づけた記事である。
LLMjacking: How Attackers Steal AI API Keys and Run Up Your Bill(外部)
AIサービスを狙う認証情報窃取が376%増加したとするSysdig調査を引き、被害の経済構造を示した記事である。
Gemini API key thief racks up $82,314 in charges in just two days(外部)
盗難Geminiキーで48時間に8万2314ドルが課金された事例を報道。被害者をメキシコの開発会社とする。
Stolen Gemini API key racks up $82,000 in 48 hours for solo dev(外部)
同じ約8.2万ドルの事例を報じるが、被害者をベトナムの個人開発者とし、出典間の不一致を示す記事である。
LLMjacking — How AI API Key Theft Works and How to Prevent It(外部)
LLMjackingという用語がSysdigにより2024年5月に提唱された経緯を記す記事。用語の出自確定に参照した。
【関連記事】
JetBrainsがAgent Client Protocol(ACP)を採用、VS Code一強時代に風穴を開けるか
本件で再発防止策として挙がったACPを主題に解説。攻撃の入り口を減らす標準化の動きを理解できる記事である。
VS Code拡張機能4つに深刻な脆弱性、CursorやWindsurfにも影響―累計1億2500万インストール
「開発者の手元の環境こそ攻撃の接点」という、本件と共通の問題意識を扱う記事である。
Google APIキーがGeminiの認証情報に—公開ウェブ上で約3,000件の有効キーが発見される
AI APIキーの漏洩・悪用リスクを扱い、「静的なクレデンシャル」という前提が崩れる論点が本件と響き合う記事である。
【編集部後記】
便利なAIツールほど、私たちは「使える」という体験で安心してしまうのかもしれません。今回の事案は、その安心の裏側で何が起きうるかを静かに教えてくれました。みなさんは、ふだん開発ツールやサービスにAPIキーを預けるとき、その送り先まで意識したことはあるでしょうか。私たち編集部も、便利さと引き換えに何を手放しているのか、改めて立ち止まって考えています。よければ、ご自身が信頼を置いているツールの「権限」を、この機会に一緒に見つめ直してみませんか。
