Adobeは2026年2月10日、Adobe After Effectsのセキュリティアップデート(APSB26-15)を公開した。Windows及びmacOS向けAdobe After Effects 25.6以前のバージョンに影響する脆弱性15件に対処するもので、内訳はCritical(重大)が13件、Important(重要)が2件である。
CVSSベーススコアはCriticalが7.8、Importantが5.5となっている。攻撃が成功した場合、任意コード実行、メモリ露出、アプリケーションのサービス拒否につながる可能性がある。対応バージョンは25.6.4及び26.0で、優先度評価は3に分類されている。
脆弱性を報告したのはvoidexploit、yjdfy、Francis Provencher(prl)の3者である。Adobeは現時点でこれらの問題について野生での悪用は確認していないとしている。
From: 
Security Updates Available for Adobe After Effects | APSB26-15
【編集部解説】
今回のセキュリティアップデートは、Adobeが2026年2月10日に実施した大規模なパッチリリースの一環です。同日、After Effectsを含む9製品に対して合計44件のCVE(共通脆弱性識別子)が修正されましたが、その中でもAfter Effectsの15件は最大規模となっています。
このタイミングでAdobeが大規模なセキュリティ対応を行った背景には、クリエイティブ業界が直面する固有のリスクがあります。After EffectsはCreative Cloudエコスystemの中核を担うツールとして、映像制作からテレビ番組制作まで幅広く使用されており、Creative Cloud全体で業界を牽引するAdobeの市場影響力を考えると、攻撃者にとって魅力的なターゲットとなっています。
今回修正された脆弱性の多くは「Use After Free」や「Out-of-bounds Read/Write」といったメモリ管理に関する問題です。これらは特別に細工されたプロジェクトファイルを開くことで発動するため、ユーザーインタラクションが攻撃の起点となります。クライアントや協力会社から受け取ったファイルを日常的に扱うクリエイティブ業界では、このような攻撃手法は特に危険性が高いといえるでしょう。
CVSSスコア7.8という数値は「高」に分類されますが、ローカル攻撃ベクトル(AV:L)かつユーザーインタラクション必須(UI:R)という条件があります。つまり、リモートから自動的に攻撃されるわけではなく、悪意あるファイルを開いてしまうという人的要素が必要です。しかし、これは逆に言えば、ソーシャルエンジニアリングと組み合わせることで効果的な攻撃が可能になることを意味します。
ポジティブな側面として注目すべきは、Adobeのバグバウンティプログラムを通じた脆弱性発見の仕組みです。voidexploit、yjdfy、Francis Provencher(prl)という3名のセキュリティ研究者が今回の脆弱性を報告しました。特にyjdfyは15件中11件を発見しており、外部研究者との協力体制がいかに重要かを示しています。
現時点で野生での悪用は確認されていませんが、公開された脆弱性情報は攻撃者にとっての「設計図」にもなり得ます。特に映像制作プロジェクトには未公開作品や企業秘密が含まれることが多く、知的財産の盗難やランサムウェア攻撃のリスクは無視できません。優先度評価が「3」とされていることから、Adobeは30日以内のアップデート適用を推奨しています。
Creative Cloudの自動更新機能を有効にしている環境では比較的速やかにパッチが適用されますが、エンタープライズ環境やレガシーワークフローを維持している制作現場では、互換性テストのために更新が遅れる傾向があります。こうした環境こそが、攻撃者が狙う「パッチギャップ」となる可能性があります。
【用語解説】
CVSS(Common Vulnerability Scoring System)
脆弱性の深刻度を数値化する国際標準規格。0.0から10.0までのスコアで評価され、7.0以上は「高」、9.0以上は「緊急」に分類される。攻撃の難易度、影響範囲、必要な権限などの要素を基に算出される。
Use After Free(CWE-416)
プログラムがメモリを解放した後に、そのメモリ領域に再度アクセスしようとする脆弱性。解放済みメモリを悪用することで、攻撃者が任意のコードを実行できる可能性がある。
Out-of-bounds Read/Write(CWE-125/787)
プログラムが確保したメモリ領域の範囲外を読み書きしてしまう脆弱性。範囲外アクセスにより、機密情報の漏洩や任意コード実行につながる恐れがある。
任意コード実行
攻撃者が対象システム上で自由にプログラムを実行できる状態。マルウェアのインストール、データ窃取、システム制御の乗っ取りなど、あらゆる悪意ある行為が可能になる最も深刻な脆弱性影響の一つ。
CVE(Common Vulnerabilities and Exposures)
公開されたセキュリティ脆弱性に割り当てられる一意の識別番号。「CVE-年-番号」の形式で表され、世界中のセキュリティ専門家が同一の脆弱性を共通の名称で議論できる仕組みを提供する。
バグバウンティプログラム
企業が外部のセキュリティ研究者に対して、自社製品の脆弱性を発見・報告した対価として報奨金を支払う制度。オープンイノベーション的なアプローチでセキュリティ品質を向上させる手法として定着している。
ソーシャルエンジニアリング
技術的な攻撃ではなく、人間の心理的な隙を突いて機密情報を引き出したり、悪意ある行動を取らせたりする手法。偽メールや電話、なりすましなどが代表的な手口。
パッチギャップ
セキュリティパッチが公開されてから実際にシステムに適用されるまでの期間。この間は脆弱性が既知でありながら未対策の状態となり、攻撃者に狙われやすくなる。
【参考リンク】
Adobe After Effects 公式サイト(外部)
映像制作業界標準のモーショングラフィックス・VFXソフトウェア。Creative Cloudサブスクリプションで提供される。
Adobe Security Bulletin(セキュリティ公報)(外部)
Adobeが公開する全製品のセキュリティアップデート情報の一覧ページ。脆弱性の詳細を確認できる。
Adobe Product Security Incident Response Team (PSIRT)(外部)
Adobeのセキュリティインシデント対応チームの公式ページ。脆弱性報告の方法を掲載。
HackerOne – Adobe Bug Bounty Program(外部)
Adobeが運営する公式バグバウンティプログラム。セキュリティ研究者が脆弱性を報告できる。
CWE – Common Weakness Enumeration(外部)
ソフトウェアやハードウェアの脆弱性タイプを分類・定義する国際的なデータベース。
【参考記事】
The February 2026 Security Update Review(外部)
2026年2月のセキュリティアップデート全体を俯瞰。Adobeを含む主要ベンダーのパッチ公開状況を議論。
Adobe、InDesignやLightroomなど9製品にアップデート(外部)
Adobeが2026年2月10日に実施した9製品44件のCVE修正を報じる日本語記事。
Adobe Releases Multiple Security Updates Across Creative Cloud Apps(外部)
Creative Cloud全体のセキュリティアップデート動向を分析。過去のパッチサイクルとの比較も。
Understanding Software Supply Chain Attacks(外部)
ソフトウェアサプライチェーン攻撃の仕組みと対策を解説。クリエイティブ業界のリスクを考察。
Secure Video Content Management Post-Production(外部)
映像制作ワークフローにおけるセキュリティリスクと対策。After Effectsの脆弱性影響を考察。
【編集部後記】
クリエイティブな作業に集中している時、セキュリティアップデートの通知は正直なところ煩わしく感じることもありますよね。ただ、今回のように15件もの脆弱性が一度に修正されるケースを見ると、制作環境の安全性について改めて考えるきっかけになるかもしれません。
みなさんは外部から受け取ったプロジェクトファイルを開く際、どのような注意を払っていますか?Creative Cloudの自動更新は有効になっているでしょうか?
セキュリティと創造性は対立するものではなく、安心して制作に没頭するための土台だと私たちは考えています。この機会に、ご自身の制作環境を見直してみませんか。
がもたらす「アンテザード・ソサエティ」の衝撃-300x200.png)
