Mac人気動画プレイヤーIINAに重大脆弱性、不正リンクで乗っ取りの恐れ
Macで人気のオープンソース動画プレイヤー「IINA」にCVSS 8.8の脆弱性が見つかりました。悪意あるリンクをクリックして起動許可をするだけで、攻撃者があなたのMacで任意のコマンドを実行できる恐れがあります。GitHubスター4.4万を超える人気アプリで、開発元は修正版1.4.3を公開済み。即時アップデート推奨です。
ニュース
kkm
Backend Engineer / AWS / Django
Macで人気のオープンソース動画プレイヤー「IINA」にCVSS 8.8の脆弱性が見つかりました。悪意あるリンクをクリックして起動許可をするだけで、攻撃者があなたのMacで任意のコマンドを実行できる恐れがあります。GitHubスター4.4万を超える人気アプリで、開発元は修正版1.4.3を公開済み。即時アップデート推奨です。
Mac向けで人気の動画プレイヤー「IINA」に重大な脆弱性が見つかりました。悪意のあるリンクをクリックして「IINAを開く」を許可してしまうと、攻撃者があなたのMacで任意のコマンドを実行できるという問題で、CVSSは満点10点中8.8。バージョン1.4.3で修正済みです。
IINAはGitHubでスター数4.4万を超えるオープンソースの動画再生アプリで、特に日本・韓国・中国のMacユーザーの間で「Macの動画プレイヤーといえばIINA」と言われるほど定番の存在になっています。VLCの後継として乗り換えた人も多いはずです。
脆弱性を発見したのはセキュリティ研究者のstackpointer氏で、VulnCheckのアドバイザリとして2026年5月21日に公開されました。CVE番号はCVE-2026-47114です。
何が起きるのか
攻撃の流れはシンプルです。攻撃者はWebページ・メール・SNSの投稿などに、`iina://open?...` という形のリンクを仕込んでおきます。これは「IINAでこの動画を開いて」とMacに伝える特殊な形式のURLです。
利用者がそのリンクをクリックすると、ブラウザは「『IINA』でこのリンクを開きますか?」というポップアップを表示します。動画系のリンクだと思って「開く」を押した瞬間、URLに仕込まれたコマンドがあなたのMacで実行される――というのが今回の脆弱性です。
実際に発見者が公開している技術解説記事によると、PoC(実証コード)では `/bin/ls` でディレクトリを列挙したり、`/usr/bin/touch` でマーカーファイルを作成したりが既に確認されています。実行されるコマンドは、その時点でMacにログインしているユーザーの権限と同じです。
攻撃の流れ
- 1.攻撃者がSNS・ブログ・メール等に細工した
iina://open?...リンクを投稿 - 2.利用者がそのリンクをクリック
- 3.ブラウザが「IINAでこのリンクを開きますか?」と確認
- 4.利用者が「開く」を承認
- 5.IINAが起動し、URLに仕込まれた任意のコマンドが実行される
注意したいのは、攻撃の成立に「有効な動画ファイルが必要ない」点です。URLが動画として正しく開けるかどうかに関係なく、コマンド部分は先に処理されてしまいます。リンクを開いて「動画が再生できないだけ」と思っていたら、裏側ではすでに何かが実行されていた、というシナリオが現実的です。
脆弱性の中身
技術的には「引数注入(Argument Injection)」と呼ばれる種類の問題で、CWE分類では「CWE-88」に該当します。
IINAは内部でmpvという動画再生エンジンを使っていて、URLスキーム経由で受け取ったパラメータをそのままmpvの起動オプションに渡してしまう設計になっていました。`mpv_options` や `input-commands` のような特殊なパラメータをURLに混ぜると、mpvが内部コマンドとして解釈・実行してしまう、というのが攻撃の核心です。
バージョン1.4.3の修正コミットでは、URLスキームから受け取るパラメータをホワイトリスト形式で制限し、危険なオプションを弾く処理が追加されています。リリースノートには端的に「`iina://` URLを開く際のコマンド注入のセキュリティ問題を修正」と記載されています。
影響を受ける利用者
対象はIINAをmacOSにインストールしている全ユーザーで、バージョンが1.4.2以前の場合です。1.4.3にアップデートすれば修正されます。
| 項目 | 内容 |
|---|---|
| CVE番号 | CVE-2026-47114 |
| CVSS | 8.8(深刻度「高」) |
| 対象 | macOSのIINA 1.4.2以前 |
| 修正版 | 1.4.3(2026年5月20日公開) |
| 公開日 | 2026年5月21日 |
| 発見者 | stackpointer(VulnCheck経由) |
| 攻撃の前提 | 利用者がリンクをクリックし 「IINAで開く」を承認すること |
| 実行権限 | macOSの現ユーザーと同等 |
「ユーザー承認が必要」と聞くと安心しがちですが、現実にはこの種のプロンプトは形骸化しやすいものです。Web上で動画リンクと見せかけられたものを開くとき、「IINAでこのリンクを開きますか?」と聞かれて反射的に「開く」を押してしまう利用者は少なくありません。特にIINAをデフォルトの動画プレイヤーに設定している場合、この手の確認に慣れきっている可能性が高いです。
いますぐやること
対応は単純で、IINAを1.4.3以上にアップデートするだけです。
アップデート手順は以下のいずれか:
アップデート方法
- ▸App内アップデート: IINAを起動→メニューバーの「IINA」→「Check for Updates...」
- ▸Homebrew経由: ターミナルで
brew upgrade --cask iina - ▸公式サイト: iina.io から最新版をダウンロード
バージョン確認は、IINAを起動した状態でメニューバーの「IINA」→「About IINA」で表示されます。1.4.2以下なら早めに更新してください。
アップデートまでの間に取れる暫定対策としては、身に覚えのない動画リンクをクリックしないこと、特に iina:// で始まるリンクや、見慣れないドメインから飛ばされてきた動画リンクには承認プロンプトで「キャンセル」を選ぶことが推奨されます。
なぜURLスキームは狙われるのか
アプリ独自のURLスキーム(`zoom://` `slack://` `vscode://` など)は、便利な反面、こうした脆弱性の温床になりやすい仕組みです。理由は3つあります。
ひとつ目は、ブラウザ経由で外部からアプリに引数を渡せること。本来アプリ側で慎重に検証すべきパラメータが、Web上の任意の場所から注入できる状態になります。攻撃者は普通のWebページにリンクを貼るだけで攻撃を発動できます。
ふたつ目は、プロトコルプロンプトの認知負荷の低さです。「このアプリで開きますか?」というプロンプトに利用者は慣れすぎていて、内容を確認せずに「開く」を押す傾向があります。OSやブラウザ側が表示するこの確認は、認証や警告として機能しにくいのが現実です。
3つ目は、パラメータが内部コマンドへ直接渡る設計がしばしば見られること。今回のIINAも、URLパラメータをmpvの起動オプションにそのまま流していました。同じ構造の問題は過去にも他のmacOSアプリ・Windowsアプリで繰り返し発生しており、いわば古典的な穴です。
macOSユーザーは、Mac App Store経由で配布されるアプリ以外(DMGや`.app`を直接インストールするもの)について、こうしたURLスキームの仕組みがある可能性を意識しておくとよいでしょう。普段使うアプリのアップデートをこまめに行うことが、いちばん現実的な防御です。
締めにかえて
IINAは現在の日本のmacOSユーザーにとって、ほぼ「標準装備」と言える動画プレイヤーです。利用者の母数が大きく、しかも攻撃のトリガーが「リンクを踏んで開く」という日常動作である点で、今回の脆弱性はMacユーザー全員が把握しておくべき内容です。
幸い修正版はすでに公開されており、対応は数十秒で終わります。今夜のうちに IINA を起動して「Check for Updates...」を一度押す――それで完了する話です。