バグニュース

「PixelSmash」の脆弱性により、動画ファイルが攻撃ツールに悪用される

ピーター・アルンツ| 2026年6月24日
PixelSmash
Googleで優先ソースとして追加する

FFmpegのMagicYUVデコーダーで新たに発見された脆弱性により、ごくわずかな不正な形式の動画が、攻撃者にとっての足掛かりとなる可能性があります。

研究者らは、FFmpegのMagicYUVビデオデコーダに存在する「PixelSmash」と呼ばれる重大な脆弱性(CVE-2026-8461として追跡されている)を公表した。この脆弱性のCVSSスコアは8.8である。

特別に改変されたAVI、MKV、またはMOVファイルを作成することで、攻撃者は、脆弱性のあるバージョンのFFmpegを使用して、そのファイルのサムネイル生成、メタデータの抽出、または再生を試みるあらゆるシステムをクラッシュさせたり、コードを実行させたりする可能性があります。

FFmpegって何ですか? これってマジなんですか?

FFmpegは、音声や動画の録音、変換、ストリーミングを行うためのオープンソースのツールキットであり、そのlibavcodecライブラリには、数百もの音声・動画デコーダが実装されています。

その一つが、動画編集で広く使われているロスレスコーデック「MagicYUV」です。FFmpegのMagicYUVデコーダーに新たに発見された脆弱性により、ごくわずかな不正な形式の動画が、攻撃者にとっての足掛かりとなる可能性があります。

研究者らは、FFmpegのMagicYUVビデオデコーダに存在する「PixelSmash」と呼ばれる重大な脆弱性(CVE-2026-8461として追跡されている)を公表した。この脆弱性のCVSSスコアは8.8である。

特別に細工されたAVI、MKV、またはMOVファイルを作成することで、攻撃者は、脆弱性のあるバージョンのFFmpegを使用して、そのファイルのサムネイル生成、メタデータの抽出、または再生を試みるあらゆるシステムをクラッシュさせたり、コードを実行させたりする可能性があります。

FFmpegって何ですか? これってマジなんですか?

FFmpegは、音声や動画の録音、変換、ストリーミングを行うためのオープンソースのツールキットであり、そのlibavcodecライブラリには、数百もの音声・動画デコーダが実装されています。

その一つが、動画編集で広く使われているロスレスコーデック「MagicYUV」だ。研究者らは、アップストリームのFFmpegおよびFFmpeg 9.0までのテスト対象となったすべてのLinuxディストリビューションのパッケージにおいて、これがデフォルトで有効になっていることを突き止めた。

その影響は、皆さんが想像している以上に深刻です。LinuxデスクトップからJellyfinやNextcloudのサーバー、さらには動画クリップを取り込むAIモデルに至るまで、動画に関連するシステムを運用しているなら、その裏側ではおそらくFFmpegに依存しているはずです。

影響を受けているシステムの正確な数を特定するのは難しいですが、以下の点を把握しておくと参考になります:

  • 数千万台のLinuxシステムが、 ffmpegthumbnailer およびシステム libavcodec サムネイルの場合、「単にフォルダを閲覧しているだけ」という状況でも、悪意のあるファイルが存在すればこの不具合が発生する可能性があります。
  • 世界的に最も人気のあるセルフホスト型メディア・ファイルプラットフォームであるJellyfinとNextcloudには、それぞれ少なくとも数万台のアクティブなインターネット接続可能なサーバーが存在します。FFmpegを更新していない、あるいはMagicYUVを無効にしていないサーバーのほぼすべてが、サービス拒否(DoS)攻撃の標的となり得るほか、一部の構成では、標的型のリモートコード実行(RCE)攻撃の標的となる可能性があります。
  • 一般消費者向けのネットワーク接続型ストレージ(NAS)やスマートテレビのプラットフォームの多くは、プレビューやサムネイルの表示にFFmpegを採用しています。これらのデバイスは数百万台単位で販売されています。

PixelSmashの最も懸念される点は、そのトリガーとなる条件が極めて緩いことです。必要なのは、FFmpegを使用して信頼できないメディアを処理し、MagicYUVデコーダーが組み込まれているアプリケーションだけなのです。

PixelSmashは、オープンソース・エコシステムにおけるより広範な問題、すなわち、深い依存関係にあるバグが、目立たないまま至る所に波及してしまうという問題を如実に示す好例です。

身を守る方法

この脆弱性は、一般的な一般ユーザーが心配する必要のあるものではありません。これは上流側で対処される必要があります。影響を受けるLinuxディストリビューションのユーザーは、FFmpegの更新や、使用しているディストリビューションからのセキュリティ更新に注意を払う必要があります。

ただし、動画を取り扱うシステムの責任者である場合は、そうでないことが証明されるまでは、影響を受けていると想定すべきです。主な対策は以下の通りです:

  • FFmpeg を更新してください。 2026年6月17日にリリースされたFFmpeg バージョン 8.1.2 には、CVE-2026-8461 に対する修正が含まれています。お使いのディストリビューションやベンダーから更新版の FFmpeg が提供されている場合は、デスクトップ、サーバー、コンテナのすべてにインストールしてください。
  • MagicYUVが有効になっているかどうかを確認し、可能であれば無効にするか、パッチを適用してください。
  • 信頼できない動画の自動処理を削減してください。特に使用頻度の低いフォーマットについては、どのプレビュープロバイダーやサムネイル生成ツールが有効になっているかを確認してください。

最後に、特に新しい動画ファイルを開いたりダウンロードしたりした後に、メディアプレーヤー、サムネイル生成ツール、またはメディアサーバーが異常なクラッシュを起こしていないか注意深く観察しておく価値があります。システムにパッチが適用されるまでは、繰り返されるクラッシュやサムネイルの表示不良を、悪意のあるコンテンツの存在を示す可能性のある兆候として扱うべきです。

脅威を報告するだけでなく、取り除く

サイバーセキュリティのリスクは、ヘッドラインを超えて広がるべきではありません。今すぐMalwarebytes ダウンロードして、デバイスに脅威を持ち込まないようにしましょう。

その影響は、皆さんが想像している以上に深刻です。LinuxデスクトップからJellyfinやNextcloudのサーバー、さらには動画クリップを取り込むAIモデルに至るまで、動画に関連するシステムを運用しているなら、その裏側ではおそらくFFmpegに依存しているはずです。

影響を受けているシステムの正確な数を特定するのは難しいですが、以下の点を把握しておくと参考になります:

  • 数千万台のLinuxシステムが、 ffmpegthumbnailer およびシステム libavcodec サムネイルの場合、「単にフォルダを閲覧しているだけ」という状況でも、悪意のあるファイルが存在すればこの不具合が発生する可能性があります。
  • 世界的に最も人気のあるセルフホスト型メディア・ファイルプラットフォームであるJellyfinとNextcloudには、それぞれ少なくとも数万台のアクティブなインターネット接続可能なサーバーが存在します。FFmpegを更新していない、あるいはMagicYUVを無効にしていないサーバーのほぼすべてが、サービス拒否(DoS)攻撃の標的となり得るほか、一部の構成では、標的型のリモートコード実行(RCE)攻撃の標的となる可能性があります。
  • 一般消費者向けのネットワーク接続型ストレージ(NAS)やスマートテレビのプラットフォームの多くは、プレビューやサムネイルの表示にFFmpegを採用しています。これらのデバイスは数百万台単位で販売されています。

PixelSmashの最も懸念される点は、そのトリガーとなる条件が極めて緩いことです。必要なのは、FFmpegを使用して信頼できないメディアを処理し、MagicYUVデコーダーが組み込まれているアプリケーションだけなのです。

PixelSmashは、オープンソース・エコシステムにおけるより広範な問題、すなわち、深い依存関係にあるバグが、目立たないまま至る所に波及してしまうという問題を如実に示す好例です。

身を守る方法

この脆弱性は、一般的な一般ユーザーが心配する必要のあるものではありません。これは上流側で対処される必要があります。影響を受けるLinuxディストリビューションのユーザーは、FFmpegの更新や、使用しているディストリビューションからのセキュリティ更新に注意を払う必要があります。

ただし、動画を取り扱うシステムの責任者である場合は、そうでないことが証明されるまでは、影響を受けていると想定すべきです。主な対策は以下の通りです:

  • FFmpeg を更新してください。 2026年6月17日にリリースされたFFmpeg バージョン 8.1.2 には、CVE-2026-8461 に対する修正が含まれています。お使いのディストリビューションやベンダーから更新版の FFmpeg が提供されている場合は、デスクトップ、サーバー、コンテナのすべてにインストールしてください。
  • MagicYUVが有効になっているかどうかを確認し、可能であれば無効にするか、パッチを適用してください。
  • 信頼できない動画の自動処理を削減してください。特に使用頻度の低いフォーマットについては、どのプレビュープロバイダーやサムネイル生成ツールが有効になっているかを確認してください。

最後に、特に新しい動画ファイルを開いたりダウンロードしたりした後に、メディアプレーヤー、サムネイル生成ツール、またはメディアサーバーが異常なクラッシュを起こしていないか注意深く観察しておく価値があります。システムにパッチが適用されるまでは、繰り返されるクラッシュやサムネイルの表示不良を、悪意のあるコンテンツの存在を示す可能性のある兆候として扱うべきです。

脅威を報告するだけでなく、取り除く

サイバーセキュリティのリスクは、ヘッドラインを超えて広がるべきではありません。今すぐMalwarebytes ダウンロードして、デバイスに脅威を持ち込まないようにしましょう。

著者について

ピーテル・アルンツ

ピーテル・アルンツ

マルウェアインテリジェンス研究者

コンシューマー・セキュリティ部門で12年連続マイクロソフトMVP。4ヶ国語を操る。リッチなマホガニーと革張りの本の匂い。

最新記事

製品
羊の皮を被った狼

Malwarebytes装った更新詐欺に注意してください

6月24, 2026

詐欺師たちが、サブスクリプション料金が請求されたと偽ったソフトウェアの更新通知を送信しています。中には、Malwarebytes装う者もいます。

詐欺
片手に頭を抱え、もう片方の手に携帯電話を持った若者が座っていた。

「Total 」。セクストーション詐欺師が再び襲来

6月24, 2026

彼らは、動画やマルウェアを所持しており、あなたのデバイスを完全に掌握していると主張しています。ここでは、被害者ではなくセキュリティ研究者の視点で、セクストーションメールを読み解く方法をご紹介します。

ニュース
メタロゴ

Meta、セキュリティ審査を経て、物議を醸していた従業員追跡プログラムを一時停止

6月23, 2026

Metaは、物議を醸していた従業員追跡プログラムを一時停止した。残念ながら、このプログラムが中止されたのは、従業員のプライバシーが理由ではなかった。

Googleで優先ソースとして追加する

関連記事

投稿者アイコン

投稿者

脅威センターのアイコン

スレットセンター

ポッドキャスト・アイコン

ポッドキャスト

用語集アイコン

用語集

詐欺アイコン

詐欺