3月10日、OBS Projectは、ライブ配信用ツール「OBS Studio」公式フォーラムにて、プラグインのリソースを管理している複数のアカウントが不正アクセスを受けていたことを報告した。
この不正アクセスにより、フォーラムの「Resource」セクションからダウンロードされたプラグイン「ClickSound」「SRBeep」「obs-websocket」が悪意のあるバージョンに更新されていた。
影響を受けたプラグイン
・ClickSound
該当バージョン 2026-02-28, 1.0.1
侵害された期間 2月27日 5:29PM 〜 2月28日 5:15PM(PT)・SRBeep
該当バージョン 3.0.0, 3.0.1, 3.0.2, 3.0.3
侵害された期間 2月8日 3:23PM 〜 2月22日 8:44AM(PT)・obs-websocket
該当バージョン 2026-02-28, 5.0.2
侵害された期間 2月27日 8:22PM 〜 2月28日 8:32AM(PT)
該当プラグインをダウンロードしていた場合、プラグインを削除し、PCのマルウェアスキャンを行うように呼びかけている。
なお、影響を受けたのはフォーラムの「Resource」セクションからダウンロードされたものに限られる。OBS本体に同梱されているバージョンの「obs-websocket」は影響を受けていないとのこと。
Some accounts on our forum were recently compromised due to password re-use and used to post malware.
— OBS (@OBSProject) March 9, 2026
Please review this list to see if you may have been affected, as well as our other changes in response to this.https://t.co/2anpstdYlP
今回の不正アクセスは、他サービスとパスワードを併用するユーザーを狙った攻撃によって行われたことが確認されており、フォーラム自体のシステム侵害やデータ流出は確認されていないようだ。
OBSは対策として、新規リソースの投稿に必要だった手動承認を、今後はリソースの更新時にも必要とするようにプロセスを更新している。さらに、新しいリソースの投稿や既存リソースの更新を行う全てのアカウントに対し、2要素認証の有効化を義務付けたとのこと。
