FFmpegに動画ファイルで乗っ取りの脆弱性 CVE-2026-8461、8.1.2へ即更新を
動画や音声の変換に世界中で使われるソフトFFmpegに、細工された動画ファイルを読み込ませるだけでパソコンやサーバーを乗っ取られかねない脆弱性が見つかりました。2026年6月18日公開のCVE-2026-8461で、影響は8.1.2より前の全バージョン。ユーザー投稿の動画を自動変換するサービスは特に危険です。最新版8.1.2への更新で塞げます。
堀川 慎
Backend Engineer / AWS / Django / Go
動画や音声の変換に世界中で使われるソフトFFmpegに、細工された動画ファイルを読み込ませるだけでパソコンやサーバーを乗っ取られかねない脆弱性が見つかりました。2026年6月18日公開のCVE-2026-8461で、影響は8.1.2より前の全バージョン。ユーザー投稿の動画を自動変換するサービスは特に危険です。最新版8.1.2への更新で塞げます。
動画や音声の変換に世界中で使われているソフト「FFmpeg」に、細工した動画ファイルを読み込ませるだけでパソコンやサーバーを乗っ取られかねない脆弱性が見つかりました。2026年6月18日に公開された「CVE-2026-8461」で、危険度は10点満点中8.8(高)と評価されています。
影響を受けるのは、修正版である8.1.2より前のすべてのバージョンです。前日の6月17日に公開された最新版8.1.2に更新すれば塞げます。とくに、利用者が投稿した動画を自動で変換しているサービスは、知らないうちに攻撃を受ける可能性があります。
FFmpegとは何か、なぜ多くの人に関係するのか
FFmpegは、動画・音声ファイルを別の形式に変換したり、再生・録画したりするための無料ソフト(オープンソースソフトウェア。誰でも中身を見られ、無料で使えるプログラム)です。単体のアプリというより、多くのアプリやサービスの裏側に部品として組み込まれている「縁の下の力持ち」です。
たとえば、動画投稿サイトがアップロードされた動画を自動で変換する処理、配信サービスのサムネイル生成、パソコンの動画プレイヤー、録画・配信ソフトなど、動画を扱う場面の多くでFFmpegが動いています。Macで人気の動画プレイヤーIINAのように、FFmpegを土台にしたソフトも数多くあります。自分では「FFmpegを使っている」と意識していなくても、間接的に動かしているケースがほとんどです。
今回問題になったのは、FFmpegの中の「MagicYUV」という動画形式を読み込む部分です。MagicYUVは、画質を落とさずに録画・編集できる動画形式で、ゲーム実況の録画や映像制作の現場で使われています。この形式の動画を読み込むプログラム(デコーダー)に欠陥がありました。
この穴を狙うのは誰で、何を持っていくのか
「動画ファイルを開いただけで乗っ取られる」と言われても、自分とは縁遠い話に聞こえるかもしれません。けれど今回のCVE-2026-8461が本当に怖いのは、攻撃の入口が「ただの動画ファイル1個」という、誰もが日常的に受け取るものだという点にあります。誰が、何のためにこの穴を踏ませにくるのかを先に整理しておきます。
狙ってくるのは、たとえば動画共有サービスやSNSにわざと壊れた動画を投稿する人間、業務用の動画変換システムに「サンプル映像です」と装ったファイルを送りつけてくる人間、映像制作会社の編集担当者に取引先を装って素材を渡してくる人間です。彼らが欲しいのは、その変換サーバーに保管された会員の登録メールアドレスとパスワード、決済に使うクレジットカード番号、まだ公開していない映像作品、社内の認証キーです。細工された動画が変換処理に1本流れ込んだ瞬間、その箱の中身を取り出す通り道が相手の側に開きます。
技術的に言えば、攻撃者は事前の偵察で「このサービスは投稿動画をFFmpegで自動変換している」と見当をつけ、変換処理にだけ反応する壊れたMagicYUVファイルを用意します。利用者がアップロードする動画は普通そのまま信用して処理されるため、攻撃者は正規の投稿フォームをそのまま入口に使えます。サーバー側が気づく前に処理が走り、運が悪ければサーバーの操作権限そのものが奪われます。一度入口を握られれば、同じ仕組みで動く他の利用者のデータまで芋づる式に危険にさらされます。
「危険度8.8」という数字は、あくまで技術的な深刻さを示す目盛りにすぎません。サービスを運営する人にとって本当に失われるのは、預かっていた利用者の個人情報と、二度と取り戻せない「あの会社のサービスは安全だ」という信頼です。動画を1本処理しただけでそこまで届いてしまうのが、この脆弱性の本質です。
CVE-2026-8461で実際に何が起きるのか
脆弱性の種類は「境界外書き込み」(CWE-787)と呼ばれるものです。プログラムが用意したメモリの「箱」の外に、誤ってデータを書き込んでしまう欠陥です。具体的には、FFmpegの動画処理部品「libavcodec」の中の、MagicYUV形式を読み込むファイル(libavcodec/magicyuv.c)にこの問題がありました。
攻撃者が中身のサイズなどを細工した不正なMagicYUV動画を読み込ませると、FFmpegが本来書き込んではいけないメモリ領域に書き込みを行ってしまいます。結果として起きるのは、軽い場合でソフトの異常終了(サービス停止、DoS)、深刻な場合は攻撃者が用意したプログラムが勝手に実行される「リモートコード実行」です。リモートコード実行が成立すると、そのコンピューターは事実上、攻撃者の手に渡ります。CVEの公式記録でも「サービス妨害を引き起こし、場合によってはリモートコード実行に悪用されうる」と記載されています。
ひとつ条件があります。この脆弱性が成立するには、誰か(または何らかの仕組み)が不正なファイルを実際に処理する必要があります(評価指標では「利用者の操作が必要=UI:R」とされています)。何もしていないのに勝手に攻撃される類のものではありません。ただし「利用者が投稿した動画を自動で変換する」サービスでは、その自動処理自体が「ファイルを処理する」行為にあたるため、運営側が意識しないうちに条件が満たされてしまいます。
報告したのは、ソフトウェア開発基盤を手がけるJFrog社のセキュリティ研究チームです。米政府機関CISAの初期評価では、現時点で「実際に攻撃された形跡は確認されていない」「自動化された大量攻撃には向かない」とされる一方、成功した場合の技術的な影響は「全面的」と位置づけられています。攻撃が広まる前に対処しておくべき脆弱性です。
自分は影響を受けるのか
FFmpegは使い方が幅広いため、立場によってリスクの大きさが変わります。下の表で自分の状況を確認してください。
| 利用シーン | リスク | やるべきこと |
|---|---|---|
| 投稿動画を 自動変換する Webサービス | 高 (不特定多数の ファイルを処理) | 最優先で 8.1.2へ更新 |
| 社内の動画 変換・配信基盤 | 中〜高 (外部素材を扱う なら高) | 早急に 8.1.2へ更新 |
| FFmpegを使う 個人のアプリ (プレイヤー等) | 中 (不審なファイルを 開かなければ低) | アプリの更新を 待つ/出所不明の 動画を開かない |
| 自分で動画を 変換するだけ (信頼できる素材) | 低 (自前のファイル のみ処理) | 次の更新時に 8.1.2へ |
FFmpegはOSやアプリに部品として組み込まれていることが多いため、「自分のパソコンのどこにFFmpegが入っているか」を把握するのは簡単ではありません。OSやディストリビューション(Ubuntuなどの配布形態)ごとの入手経路と更新方法を下にまとめます。
どう対処すればいいのか
対処はシンプルで、FFmpegを8.1.2以降に更新することです。自分でFFmpegを導入している場合は、公式のダウンロードページから最新版を入手するか、使っているOSのパッケージ管理を使って更新します。8.1.2はFFmpegのセキュリティ情報でも案内される修正版で、問題のあったMagicYUV読み込み部分が直されています。修正の詳細は、開発元の修正用プルリクエスト(PR #23159)で公開されています。
すぐに更新できない事情がある場合の応急策として、出所のわからないMagicYUV形式の動画を処理しない、利用者が投稿したファイルを変換する前に形式を制限する、変換処理を本体から切り離した環境(サンドボックス)で動かす、といった対策が考えられます。ただし、これらはあくまで時間稼ぎであり、根本対応は更新です。
自社サービスがどのソフトのどのバージョンを使っているか把握しきれていない場合は、依存しているOSS(オープンソースソフトウェア)をまとめて点検するのが近道です。当サイトのOSS脆弱性スキャナーのように、使っている部品の一覧から危険なバージョンを洗い出す仕組みを使うと、こうした「気づかないうちに古い部品を使っていた」状況を見つけやすくなります。
なぜFFmpegの脆弱性がこれほど相次ぐのか
FFmpegの脆弱性報告は2026年に入って目立って増えています。背景のひとつが、AIを使った脆弱性発見の広がりです。2026年6月には、AIエージェントがFFmpegの約150万行に及ぶプログラムを自動で解析し、21件もの未知の脆弱性(ゼロデイ)を発見したと報じられました。それぞれに実際に再現できる攻撃手順まで付いていたとされ、セキュリティ業界で大きな話題になりました。
FFmpegは無数のサービスの土台でありながら、開発を支えているのは少数のボランティアです。膨大なプログラムを少人数で守る一方で、AIが次々と弱点を見つけ出す時代に入りました。今回のCVE-2026-8461はJFrog社による報告ですが、こうした「AIが基盤ソフトの穴を大量に掘り起こす」流れの中で起きた1件と見ることができます。動画を扱うソフトを使う側にとっては、こまめな更新の重要性がこれまで以上に増しています。
✓ 確認済みの事実
- ✓CVE-2026-8461は2026年6月18日に公開(NVD)
- ✓FFmpegのMagicYUVデコーダーにおける境界外書き込み(CWE-787)、危険度8.8(高)
- ✓影響は8.1.2より前の全バージョン。8.1.2で修正済み
- ✓報告者はJFrog社。米CISAは「現時点で悪用の形跡なし」と評価
? 現時点で未確認の点
- ?リモートコード実行が実際に成立する具体的な条件・実証コードの詳細 ― 公開時点で限定的
- ?本CVEがAIによる一連のFFmpeg脆弱性発見と直接関係するか ― JFrogの報告であり別系統の可能性
よくある質問
Q. 自分のパソコンにFFmpegが入っているか分かりません。危険ですか?
A. 出所の不明なMagicYUV動画を開かない限り、個人利用での即座の危険は高くありません。多くのアプリはFFmpegを内部に持っているので、各アプリの更新を適用しておけば順次対応されます。
Q. ふだん使うMP4やMOVの動画でも攻撃されますか?
A. 今回の欠陥はMagicYUVという特定形式の読み込み部分にあります。一般的なMP4やMOVを普通に再生・変換するだけで成立するものではありません。ただし攻撃者は拡張子を偽装できるため、出所不明のファイルは扱わないのが安全です。
Q. すでに攻撃されていないか心配です。
A. CISAの初期評価では実際に悪用された形跡は確認されていません。とはいえ公開後は攻撃が試みられる可能性が上がるため、早めに8.1.2へ更新してください。
まとめ
CVE-2026-8461は、動画処理の定番ソフトFFmpegに見つかった、細工した動画ファイル経由でのサービス停止やリモートコード実行につながりうる脆弱性です。危険度は8.8と高く、影響は8.1.2より前の全バージョンに及びます。とくに利用者の投稿動画を自動変換するサービスは、攻撃の入口になりやすいため最優先で更新すべきです。
対処は最新版8.1.2への更新で完了します。FFmpegは多くのアプリやサービスの土台として動いている部品なので、「自分は使っていない」と思っていても間接的に影響することがあります。AIによる脆弱性発見が加速する今、動画を扱う仕組みを持つ人ほど、依存している部品の更新を習慣にしておくことが安全につながります。
参照元
- ▸ NVD - CVE-2026-8461 Detail
- ▸ CVE.org - CVE-2026-8461 Record
- ▸ FFmpeg - 修正プルリクエスト #23159(MagicYUV)
- ▸ FFmpeg公式 - ダウンロード(8.1.2)
- ▸ FFmpeg公式 - セキュリティ情報
- ▸ JFrog Security Research
- ▸ The Hacker News - AI Agent Uncovers 21 Zero-Days in FFmpeg(2026年6月)
- ▸ Cyber Security News - 21 0-Day Vulnerabilities in FFmpeg(2026年6月)