人気ノートアプリ「Obsidian」がプラグイン審査を刷新、マルウェア検査や安全性表示を導入へ

Markdown形式のノートをローカルファイルとして扱えるノートアプリ「Obsidian」が、プラグインとテーマの配布基盤を刷新し、新たに「Obsidian Community」というコミュニティサイトと開発者向けのレビューシステムを立ち上げました。

Obsidian Community
https://community.obsidian.md/

The future of Obsidian plugins - Obsidian
https://obsidian.md/blog/future-of-plugins/

Obsidianによると、2020年にObsidian APIを公開して以降、コミュニティによって4000件以上のプラグイン・テーマが作られ、プラグインの総ダウンロード数は1億2000万回を超えたとのこと。

Obsidianのプラグインは、ノート管理、検索、グラフ表示、外部サービス連携、自動化などを追加できる仕組みです。一方で、Obsidianはローカルファイルを扱うアプリであり、プラグインによってはファイルシステム、ネットワーク、クリップボードなどにアクセスできる場合があります。プラグインの利便性が高いほど、プラグインの配布元やコードの安全性を確認する仕組みも重要になるというわけです。

新しいコミュニティサイトでは、プラグイン・テーマをカテゴリ別に探したり、名前、ダウンロード数、人気度、リリース日、更新日で並べ替えたりできます。各プロジェクトの詳細ページには、スクリーンショット、説明、安全性スコアカードが表示され、有料プラグインや公式連携にはラベルが付与されます。安全性スコアカードとは、自動レビューの結果をユーザーや開発者が確認できる表示枠で、今後はアクセス内容の開示、プライバシーラベル、手動レビュー結果なども取り込む予定とのこと。

開発者向けには「開発者ダッシュボード」が用意され、プラグイン・テーマの申請、管理、審査状況の確認が可能になりました。従来GitHub経由で追加されていた既存のプラグイン、テーマ、審査待ちの申請は新サイトへ自動移行済みで、開発者はObsidianアカウントでログインしてGitHubアカウントを接続すると、既存プロジェクトを引き継げます。新規申請については、提出後すぐにレビューが走り、通常は数分以内に結果が表示され、審査を通過したプロジェクトは24時間以内にアプリ内検索やダウンロードで利用可能になるとのことです。

刷新の中心にある機能が「自動レビュー」です。従来は小規模なObsidianチームが初回申請を手動レビューしていましたが、Obsidianの利用者増加やプラグイン申請数の増加により、レビュー待ちの列が伸び続けていました。さらに、コーディングエージェントの普及によってプラグイン作成の速度が上がり、申請ペースが下がる見込みもないとObsidianは説明しています。新システムでは、初回申請だけでなく各バージョンを対象に、開発者ポリシーへの準拠、コード品質、既知の脆弱(ぜいじゃく)性、マルウェアの可能性を自動的に検査します。

ただし、手動レビューが廃止されるわけではありません。Obsidianは、自動レビューによって通常の検査を拡張しつつ、人気プラグイン、特集対象のプラグイン、コミュニティから問題が報告されたプラグインなど、より深い確認が必要な対象へ手動レビューの労力を振り向ける方針です。既存のプラグイン・テーマも新システムで再レビューされており、最新の基準に満たない古いプロジェクトには一時的な例外が付与されていますが、将来的には新基準を満たさないプラグイン・テーマが公式ディレクトリから段階的に削除される予定です。

Obsidianのプラグインの安全性が注目された背景には、Obsidianのコミュニティプラグインを悪用した攻撃報告があります。Obsidianでは、ノートや設定をまとめて保存するフォルダーを「保管庫」と呼びます。保管庫にはノート本文だけでなく、設定ファイルやプラグイン関連ファイルが含まれる場合があります。

CyberNetSec.ioは2026年4月16日、金融・暗号資産分野の関係者を狙ったソーシャルエンジニアリング攻撃について報告しました。報告によると、攻撃者はLinkedInやTelegramで信頼関係を築いた後、不正なプラグインを含む共有保管庫へ被害者を誘導し、コミュニティプラグインの有効化を促したとのこと。被害者がプラグインを有効化すると、WindowsではPowerShell、macOSではAppleScriptを使う攻撃チェーンが動作し、最終的に「PHANTOMPULSE」というリモートアクセス型トロイの木馬が展開されると説明されています。

CyberNetSec.ioによると、PHANTOMPULSEはキーストロークの取得、スクリーンショットの撮影、ファイルの窃取、任意コマンドの実行が可能です。また、攻撃者がマルウェアへ命令を送るためのC2サーバーのアドレスを、Ethereumブロックチェーンの取引データから取得する仕組みも使われており、攻撃基盤の停止を難しくする狙いがあると分析されています。対策としては、信頼できない保管庫でプラグイン同期を有効にしないこと、公式の信頼できる配布元からだけプラグインを導入すること、ObsidianがPowerShellやosascriptなどを起動する挙動を監視することが挙げられています。

一方、Hacker NewsではObsidianのCEOであるステフ・アンゴ氏が登場し、攻撃記事について「ユーザーがObsidianの複数の安全警告を能動的に拒否する必要があるソーシャルエンジニアリング攻撃であり、見出しは誤解を招く」と説明し、実際の被害報告は把握していないと述べています。同時に、プラグインセキュリティに関する大規模な更新を準備しているとも投稿していました。

Hacker Newsでの新システム発表に対して、アンゴ氏は「新しいコミュニティサイトとレビューシステムの立ち上げには約1年取り組んできた」と述べています。Obsidianは7人のチームで、数千人のプラグイン開発者と数百万人のユーザーを抱えており、導入のしやすさ、後方互換性、既存ワークフローへの影響、安全性と発見しやすさの改善を同時に考える必要があったとのこと。

今後数カ月で導入される予定の機能として、Obsidianは「アクセス内容の開示」と「認証済み開発者」ラベルを挙げています。アクセス内容の開示では、プラグインがネットワーク、ファイルシステム、クリップボードなどの機能へアクセスするかを開発者が明示し、ユーザーがインストール前に確認できるようになります。認証済み開発者ラベルは、追加の確認手続きを通過し、良好な状態にある開発者を示す表示になる予定です。

企業やチームでObsidianを使う場合の管理機能も強化されます。Obsidianは、チーム向けに許可するコミュニティプラグインを管理しやすくする機能や、チームメンバーへ非公開プラグインを配布する仕組みを今後追加すると説明しています。また、公式Obsidianプラグインを公開するチームは、コミュニティディレクトリで公式ラベルを申請できるとのこと。

Obsidianは、コミュニティエコシステムをObsidianの「最も楽しく、強力な側面のひとつ」と表現し、プラグインとテーマの発見、配布、レビュー、安全性確認の土台を整えることで、コミュニティがさらに発展できる基盤を提供したいと述べています。