Adobeが提供するCreative Cloudが、ユーザーの知らないうちにOSのhostsファイルを書き換えていることが明らかになった。その目的は「Creative Cloudがインストール済みかどうかをウェブサイト側で検出するため」というものだ。技術的なトリックとしては理解できるが、やっていいことかどうかは全く別の話である。

何をやっているのか

Adobeのウェブサイト(adobe.com/home)を訪問すると、JavaScriptがhttps://detect-ccd.creativecloud.adobe.com/cc.pngという画像を読み込もうとする。

ここで重要なのが、Creative Cloudをインストールすると、hostsファイルにdetect-ccd.creativecloud.adobe.comというエントリが追加されていること。このエントリが存在すれば、ブラウザはそのDNSを解決してAdobeのサーバーに接続する——つまりAdobe側はCreative Cloudがインストール済みであることを把握できる。逆にhostsエントリがなければ接続は失敗し、未インストールと判断される仕組みだ。

なぜこんな手法を採用したのか

以前はもっとシンプルな方法が使われていた。http://localhost:<各種ポート番号>/cc.pngにアクセスして、ローカルで動いているCreative Cloudアプリに問い合わせるというものだ。

しかしGoogleがChrome 130前後から「ローカルネットワークアクセス(Local Network Access)」の制限を強化し、外部サイトがlocalhostへ直接アクセスすることをブロックし始めた。これはセキュリティ観点から正しい制限強化である。その結果、Adobeは代替手段としてhostsファイルの書き換えを選択した——というのが今回の経緯だ。

hostsファイルを第三者ソフトウェアが書き換えることの問題

hostsファイルはOSのネットワーク名前解決において最優先で参照される設定ファイルである。WindowsではC:\Windows\System32\drivers\etc\hosts、macOSでは/etc/hostsにある。本来は管理者が管理するシステムレベルのリソースであり、ユーザーやセキュリティ担当者が意図的に管理するものだ。

このファイルをユーザーへの説明なく書き換える行為には、いくつかの問題がある。

1. 透明性の欠如 Creative Cloudのインストーラーは、hostsファイルを変更することについてユーザーに明示的な説明と同意取得を行っていない。ほとんどの一般ユーザーはhostsファイルの存在すら知らないが、だからこそ管理者や組織にとっては「把握できていない変更」が発生していることになる。

2. セキュリティ監査への影響 エンタープライズ環境では、hostsファイルの変更は不正アクセスやマルウェア感染のインジケーターとして監視されることが多い。サードパーティソフトウェアが正当な理由でこれを書き換えることは、セキュリティ監視のノイズを増やし、本当のインシデント検出を難しくする。

3. ゼロトラストアーキテクチャとの相性 エンドポイントの「既知の良好な状態(Known Good State)」を前提とするゼロトラストモデルでは、システムファイルへの予期しない変更はそれ自体がリスク要因と見なされる。

実務への影響

エンジニア・IT管理者が今すぐ確認すべきこと

  • Creative Cloudがインストールされている端末のhostsファイルを確認し、detect-ccd.creativecloud.adobe.comのエントリが存在するかチェックする
  • SIEMやEDR製品でhostsファイル変更イベントを監視している場合、Adobe関連エントリを誤検知として除外するか、正規の変更として記録に残す
  • 組織のエンドポイント管理ポリシーとして「承認済みソフトウェアによるhostsファイル変更の扱い」を明文化することを検討する
  • 今後のCreative Cloudアップデートでこの仕組みが変更・改善されるかを追跡する

Chromeのセキュリティ強化について Googleのローカルネットワークアクセス制限は、WANページからlocalhost/内部ネットワークへの予期しないアクセスを防ぐ正当な措置だ。この制限を「回避」するためにhostsファイルを使うというAdobeの判断は、セキュリティ強化の精神に反している。

筆者の見解

個人的に、このニュースを見て2つのことを感じた。

ひとつは、「禁止すれば問題は解決する」という発想の限界だ。Chromeがlocalhostアクセスをブロックしたことはセキュリティ上正しい決断だった。だがAdobeはそれをまともに受け止めて代替設計を再考するのではなく、「hostsファイルを書き換えれば抜け道がある」という方向に走ってしまった。制限を課せば制限を回避しようとする——これは技術的な話でもあるが、ソフトウェアベンダーの姿勢の問題でもある。

もうひとつは、2005年のSony/BMGルートキット事件との既視感だ。あのとき業界が学んだはずの教訓——「商用ソフトウェアといえどもシステムを勝手に弄るのは越権行為」——が、2026年になってもまだ繰り返されている。Adobe Creative Cloudは世界中のクリエイティブ専門職が使う主力ツールだ。その信頼を、こんな小手先のトリックのために削ることの損失を、もう少し重く受け止めてほしい。

Adobeほどのプラットフォームベンダーであれば、ウェブとデスクトップアプリの状態をサーバーサイドのセッション情報として正攻法で管理する設計は十分できるはずだ。hostsファイルという「意図しない副作用が大きい手段」を使わずとも、もっとクリーンな解法は存在する。正面から問題を解けるだけの技術力があるのだから、こういう形で信頼を傷つける必要はない。

ユーザーがインストールしたソフトウェアに対して「自分のマシンで何をされているかわからない」という状況は、特にエンタープライズITにおいて許容してはならない。今回の件を機に、Creative Cloudをプロビジョニングしている組織のIT担当者は、実際にhostsファイルを確認してほしい。

出典: この記事は Adobe modifies hosts file to detect whether Creative Cloud is installed の内容をもとに、筆者の見解を加えて独自に執筆したものです。