動画を開くだけでPC乗っ取り?FFmpegの「PixelSmash」脆弱性をわかりやすく解説

ITニュース解説セキュリティ動画脆弱性2026年6月
FFmpeg「PixelSmash」攻撃の2つの経路 経路① 経路② 悪意ある動画ファイル (ダウンロード・共有) フォルダを開くだけ (サムネイル自動生成) FFmpeg MagicYUVデコーダー(脆弱部分) ヒープオーバーフロー メモリ境界外への不正書き込み PC乗っ取り(RCE) VLC・Discord・Kodiなど多くのアプリが内部でFFmpegを使用
FFmpeg「PixelSmash」脆弱性の2つの感染経路
ひよこ ひよこ
ねえペンギン先生、「動画を見るだけでPCが乗っ取られる」ってニュース見たけど、本当なの?
ペンギン先生 ペンギン先生
本当だよ。「PixelSmash」というニックネームがついた脆弱性が2026年6月に公開されてね、FFmpegというソフトウェアに深刻なバグが見つかったんだ。
ひよこ ひよこ
FFmpegって何?聞いたことないけど。
ペンギン先生 ペンギン先生
名前は知らなくてもみんな使ってるよ。VLCメディアプレーヤーやDiscord、Kodiなど多くのアプリが内部で使っているオープンソースフレームワークなんだ。動画や音声ファイルを変換・処理する役割を担っているよ。
ひよこ ひよこ
えっ!じゃあVLCで動画を再生するだけで危ないってこと?
ペンギン先生 ペンギン先生
そう。しかも動画ファイルをフォルダで眺めるだけでも危ないんだよ。Windowsサムネイルを自動生成するとき、裏でFFmpegを呼び出すことがあるから。
ひよこ ひよこ
フォルダを開いただけで感染するの!?それ怖すぎる…どんな仕組みなの?
ペンギン先生 ペンギン先生
ヒープオーバーフロー」という攻撃なんだ。悪意ある動画ファイルを処理するとき、プログラムがメモリの割り当て範囲を超えてデータを書き込んでしまう。そこから攻撃者が自分のコードを実行できるようになるんだよ。
ひよこ ひよこ
メモリの枠を超えたら乗っ取られるってこと?なんか怖い仕組みだね。
ペンギン先生 ペンギン先生
技術的には「リモートコード実行RCE)」といって、攻撃者がネット越しに被害者のPCで好きなコマンドを実行できる状態になるんだ。深刻さを示すCVSSスコアは8.8で「重大」に分類されているよ。
ひよこ ひよこ
CVSSスコアって何?8.8って高いの?
ペンギン先生 ペンギン先生
CVSS脆弱性の深刻さを0〜10で数値化したものだよ。7以上が「高」、9以上が「緊急」で、8.8はかなり深刻なレベル。今回は攻撃者がユーザーに特別な操作をさせる必要なく、動画ファイルを処理させるだけで攻撃できてしまうから危険なんだ。
ひよこ ひよこ
今すぐ何かしないといけないの?
ペンギン先生 ペンギン先生
FFmpegを使うアプリをすぐ更新することが大切だよ。VLCは最新版に上げると良いし、FFmpeg本体も8.1.2で修正済みだね。知らない場所からダウンロードした動画ファイルは開かないことも大事だよ。
ひよこ ひよこ
アップデートを後回しにしてたら、フォルダを開くだけで危険になることもあるんだね!
ペンギン先生 ペンギン先生
そうだよ。FFmpegはWebブラウザやチャットアプリ、メディアプレーヤーなど無数のソフトの「縁の下の力持ち」なんだ。こういう基盤ライブラリ脆弱性が出ると影響範囲が広いから、アップデート情報が出たらすぐ動く習慣をつけよう。

関連コラム

ITニュース解説
18年間バレなかった脆弱性 — NGINXに認証不要のサーバー乗っ取りリスク
 ITニュース解説
WindowsパッチをAIが見つける時代へ — Microsoftの5月更新で起きた静かな革命
 ITニュース解説
PDFを開くだけで感染?AdobeのゼロデイCVE-2026-34621の仕組みと今すぐできる対策