ニュース
定番ライブ配信ツール「OBS Studio」でセキュリティ事件、一部プラグインが乗っ取り
原因はパスワードの使いまわし
2026年3月10日 14:33
ライブ配信ソフト「OBS Studio」の公式フォーラムで3月9日(米国時間)、セキュリティインシデントが報告された。プラグイン作者のアカウントが乗っ取られ、悪意あるバージョンが配信された。
Some accounts on our forum were recently compromised due to password re-use and used to post malware.
— OBS (@OBSProject)March 9, 2026
Please review this list to see if you may have been affected, as well as our other changes in response to this.https://t.co/2anpstdYlP
攻撃の影響を受けたプラグインとそのバージョンは、以下の通り。括弧内は配信されていた期間(太平洋標準時)。
- ClickSound:v2026-02-28, 1.0.1(2月27日17:29~2月28日17:15)
- SRBeep:v3.0.0~v3.0.3(2月8日15:23~2月22日8:44)
- obs-websocket:v2026-02-28, 5.0.2(2月27日20:22~2月28日8:32)
「obs-websocket」に関しては、「OBS」本体に同梱されているバージョンは影響を受けない。
ちなみに、アカウント乗っ取りの原因は当該プラグイン開発者によるパスワードの使いまわし。組織的な攻撃の一環として、複数のアカウントが侵害を受けた。
OBSのフォーラムそのものが侵害されたわけではないが、「OBS」の開発チームは新規のリソース投稿だけでなく、アップデートの際も手動承認を導入するなどの対策を実施。悪意あるファイルもすでに削除済みだ。
ユーザーに対してはパスワードの使いまわしを避け、多要素認証(2FA)の利用を呼び掛けている。
Amazonで購入
