画像ソフトFastStoneに未修正の脆弱性 CVE-2026-30040、開く前に注意
無料の画像閲覧ソフト「FastStone Image Viewer」(8.3.0.0以前)に、細工した画像でパソコンを乗っ取られる恐れのある2件の欠陥(CVE-2026-30040 / 30041)が見つかりました。とくに前者はフォルダのサムネイル自動生成だけで発動します。開発元と連絡が取れず修正版は未提供。信頼できない画像を開かない等の自衛が必要です。
堀川 慎
Backend Engineer / AWS / Django / Go
無料の画像閲覧ソフト「FastStone Image Viewer」(8.3.0.0以前)に、細工した画像でパソコンを乗っ取られる恐れのある2件の欠陥(CVE-2026-30040 / 30041)が見つかりました。とくに前者はフォルダのサムネイル自動生成だけで発動します。開発元と連絡が取れず修正版は未提供。信頼できない画像を開かない等の自衛が必要です。
無料の画像閲覧・管理ソフトとして広く使われている「FastStone Image Viewer」に、細工した画像ファイルを通じてパソコンを乗っ取られる恐れのある欠陥が見つかりました。共通の脆弱性識別番号は CVE-2026-30040 と CVE-2026-30041 の2件。日本では2026年6月23日に JVN(JVNVU#98582044)、米CERT/CCも VU#936962 として注意喚起しています。
とくに警戒したいのは、現時点で修正版(パッチ)が提供されていない点です。CERT/CCによれば開発元と連絡が取れず、修正の見通しが立っていません。対象はFastStone Image Viewer 8.3.0.0 以前。なかでもCVE-2026-30040は、フォルダを開いた際のサムネイル自動生成だけで発動し、利用者が画像をクリックしなくても悪用され得る点が厄介です。当面は、信頼できない画像ファイルを開かない・処理させない運用で身を守る必要があります。
| 対象ソフト | FastStone Image Viewer 8.3.0.0 以前 |
| 脆弱性番号 | CVE-2026-30040 / CVE-2026-30041 (JVNVU#98582044) |
| 欠陥の種類 | ヒープバッファオーバーフロー 整数オーバーフロー |
| 起こりうること | 任意コード実行 (現在のユーザー権限) |
| 修正状況 | 修正版なし(回避策で対応) |
| 公開日 | 2026年6月(JVN・CERT/CC) |
この欠陥は誰に、どんな被害をもたらすのか
狙われるのは、FastStone Image Viewerを使う人に、細工した画像ファイルを開かせたり、フォルダに紛れ込ませたりしようとする攻撃者です。メール添付や配布サイト、共有フォルダ、USBメモリなど、画像を受け取る経路はいくらでもあります。「ただの画像」だと思って受け取るところに付け込まれます。
こわいのは発動の手軽さです。CVE-2026-30040は、細工ファイルの入ったフォルダをFastStoneで表示しサムネイル(縮小版の一覧)が自動生成されるだけで、画像を開く操作すらせずに悪用され得ます。もう一方のCVE-2026-30041は、細工したPSD(Photoshop形式)ファイルを処理したときに発動します。いずれも成功すると、攻撃者はそのパソコン上で任意のプログラムを実行でき、実行は今ログインしている利用者の権限で行われます。
被害は、写真・書類などの個人ファイルや保存した認証情報の窃取、パソコンの乗っ取り、さらにそこを起点としたランサムウェア感染や社内ネットワークへの侵入の足場づくりにまで及びえます。とりわけ今回は修正版が出ていないため、「最新版に上げれば安心」という通常の対処が使えません。だからこそ、後述する回避策が重要になります。
技術的に何が起きているのか
CVE-2026-30040はヒープバッファオーバーフロー(CWE-122)です。CERT/CCのVU#936962によると、自動サムネイル生成の際にディレクトリを走査して2階層以内のファイルを処理する過程で発生し、メモリの確保サイズを超える書き込みによって、プログラムの実行位置を決める命令ポインタ(EIP)を上書きできるとされます。これが任意コード実行につながります。
CVE-2026-30041は整数オーバーフロー(CWE-190)に起因し、その結果ヒープバッファオーバーフローを引き起こします。細工したPSDファイルの処理時に発動し、命令ポインタを制御することでコード実行、あるいはソフトのクラッシュ(サービス妨害)を招く可能性があります。いずれも、画像の中に仕込んだ不正なデータを、ソフトが安全に扱いきれていないことが原因です。
いま分かっていること・まだ分からないこと
✓ 確認済みの事実
? 現時点で未確認のこと
- ?実環境での悪用が観測されたか ― 執筆時点でCISA KEVには未掲載
- ?修正版が出る時期 ― 開発元と連絡が取れておらず見通し不明
いま何をすべきか
修正版がないため、当面は「危険なファイルを処理させない」運用が基本になります。CERT/CCは、信頼できない出所のJP2(JPEG 2000)やPSDなどの画像ファイルをダウンロード・処理しないことと、制限付き(管理者でない)アカウントで利用することを推奨しています。万一悪用されても、被害を現在のユーザー権限の範囲に抑えられます。
あわせて、出所不明の画像が入ったフォルダをFastStoneで開かない(サムネイル自動生成を避ける)、心当たりのない添付画像は開かない、といった基本動作が有効です。どうしても確認が必要なファイルは、ネットから隔離した環境や別の閲覧ソフトで扱う、という手もあります。FastStoneを業務で広く使っている場合は、修正版が出るまでの代替ソフトの検討や、サムネイル機能の扱いを見直しておくとよいでしょう。開発元サイトで修正版の公開がないか、定期的に確認することもおすすめします。
まとめ
FastStone Image Viewer 8.3.0.0以前には、細工した画像を通じて任意コード実行に至り得る2件の欠陥(CVE-2026-30040 / CVE-2026-30041)があり、とくに前者はサムネイル自動生成だけで発動し得ます。現時点で修正版は提供されていないため、信頼できない画像を処理させない・制限付きアカウントで使う、といった回避策での自衛が要点です。
「ただの画像」が攻撃の入口になり得るというのは、見落とされがちなリスクです。修正版が出るまでは、受け取る画像の出所に一段の注意を払うことをおすすめします。