Adobe Acrobat と Adobe Reader に、緊急のセキュリティアップデートが配信されました。今回の件はいつもの月例パッチとは違って「緊急」と名のつく特別対応で、すでに実際の攻撃に使われていた脆弱性が修正対象になっています。
「AdobeのソフトなんてPDF見るだけだし、別にいいか」と思ってアップデートを後回しにしているパソコンが、もしかしたらすでに狙われているかもしれない、というレベルの話です。
Adobe Acrobat・Reader をお使いの方は、今すぐアップデートの確認をしてください。既に実際の攻撃での悪用が確認されている脆弱性です。パッチが配信済みのため、アップデートするだけで対処できます。
今回の脆弱性、何が起きているの?
まず、今回の問題を一言で言うと「細工されたPDFファイルを開くだけで、パソコンの中身を盗み見られたり、遠隔から操作される可能性がある」というものです。
普段PDFなんて何十回と開いていますよね。メールに添付されてくる見積書、マニュアル、チケット、役所の書類……。そういった「ごく普通の操作」が攻撃の入り口になるのが、今回のケースの怖いところです。
| 深刻度 | CVSS 8.6(高) |
|---|---|
| 種別 | プロトタイプ汚染(Prototype Pollution) |
| 影響 | 任意コード実行・ファイル窃取・外部通信 |
| 攻撃方法 | 細工されたPDFを開かせる |
| 悪用状況 | 2025年12月頃から実際の攻撃で使用済み |
「プロトタイプ汚染」ってなんですか?
少し技術的な話になりますが、今回の問題は「プロトタイプ汚染(Prototype Pollution)」という種類の脆弱性です。プログラムの設計上の弱点で、JavaScriptのオブジェクトという仕組みを悪用することで、ソフトの動作を乗っ取れてしまいます。
平たく言うと、「本来触れないはずの場所を書き換えて、ソフトに意図しない動作をさせる」攻撃です。PDFの中に潜んだ悪意のあるコードが、Adobe Reader の機能を勝手に使い始める、というイメージです。
今回の攻撃では util.readFileIntoStream()(パソコン内のファイルを読み出す機能)と RSS.addFeed()(外部のサーバーにデータを送り・コードを受け取る機能)という Adobe 内部のAPIが悪用されました。本来は正規の機能として存在するものが、脆弱性を通じて無制限に使われてしまいました。
4ヶ月間、誰も気づかなかった
ここが今回の件で一番ゾッとするポイントです。
最初の悪意あるPDFサンプルが見つかったのは 2025年11月28日。セキュリティ研究者の Haifei Li 氏が本格的に分析に乗り出したのが 2026年3月26日。Adobe が緊急パッチを出したのが 2026年4月です。
つまり、最低でも4ヶ月以上にわたって、この脆弱性は修正されないまま実際の攻撃に使われ続けていたことになります。その間、一般のウイルス対策ソフトのほとんどは検出できていませんでした。
問題のPDFが最初にVirusTotalに登録されたとき、検出できたウイルス対策ソフトはわずか5本だったと報告されています。つまりそれ以外の多くのソフトは「安全」と判定していたわけです。
どんなPDFが使われていたの?
確認されたサンプルのひとつは、ロシア語で書かれた、石油・ガス関連の業務文書を装ったPDFでした。内容も画像で表示されており、一見すると普通のドキュメントに見えます。
「自分には関係ない話だ」と思うかもしれませんが、今回の攻撃者が使っていたコードが解析・公開されたことで、別の攻撃者が同じ手口を真似して使い始めるリスクが急上昇しています。日本語の請求書や納品書を装ったPDFに仕込まれる可能性も十分あります。
対象バージョンと修正版の確認
以下の製品・バージョンが対象です。Windows / macOS 両方が該当します。
| 製品名 | 危険なバージョン | 修正済みバージョン |
|---|---|---|
| Acrobat DC / Reader DC | 26.001.21367 以前 要更新 | 26.001.21411 安全 |
| Acrobat 2024(Windows) | 24.001.30356 以前 要更新 | 24.001.30362 安全 |
| Acrobat 2024(macOS) | 24.001.30356 以前 要更新 | 24.001.30360 安全 |
自分が使っているバージョンの確認は、Adobe Acrobat / Reader を開いて ヘルプ → Adobe Acrobat Reader について から確認できます。
今すぐできるアップデートの手順
操作はシンプルです。3ステップで完了します。
- Adobe Acrobat または Adobe Reader を起動する
- メニューバーの「ヘルプ」をクリック → 「アップデートの有無をチェック」を選択する
- アップデートがあれば画面の案内に従ってインストールする(自動で再起動が必要な場合もあります)
もし「ヘルプ」メニューからアップデートできない場合や、ソフト自体が古すぎる場合は、Adobe公式のダウンロードページから最新版をインストールし直すのが確実です。
「CVSSスコアが下がった」ってどういう意味?
今回の脆弱性は、最初の報告では深刻度スコアが 9.6(緊急)でした。その後 Adobeが修正して 8.6(高)に引き下げています。
「スコアが下がったなら、そんなに怖くないってこと?」と思うかもしれませんが、それは誤解です。
スコアが下がった理由は「攻撃経路がネットワーク経由ではなく、ローカル(ファイルを開かせる)に訂正された」からです。リモートから一方的に攻撃できるわけではなく、メールや何らかの手段でPDFを届けて開かせる必要がある、という条件が明確になっただけです。あなたへの実際のリスクは変わりません。
今すぐの対応が難しい場合の暫定対策
事情があってすぐにアップデートできない場合(企業のシステム管理者の許可が必要、など)は、以下を暫定対応として実施してください。
- 見知らぬ相手から届いたPDFを Adobe Reader で開かない
- メールやチャットで送られてきたPDFは、送信元が本当に信頼できるか確認してから開く
- 「Invoice」「請求書」「契約書」といった名前のPDFで、心当たりがないものは開かない
- Adobe Reader の自動アップデートを有効にしておく(設定 → 環境設定 → アップデーター)
- メールのセキュリティフィルターでPDF添付ファイルを自動スキャンする設定を確認する
- Windows の場合、Adobe Reader 以外のPDFビューア(ブラウザ内蔵など)を代替として使用する
- Adobe Acrobat / Reader にゼロデイ脆弱性(CVE-2026-34621)が発見・修正された
- 細工されたPDFを開くだけで、ファイルの盗み出しや遠隔操作が可能になる深刻な問題
- 少なくとも2025年12月から実際の攻撃に使われており、パッチ適用まで4ヶ月以上かかった
- 対処方法はシンプルで「ヘルプ → アップデートの確認」で今すぐ修正できる
- CVSSスコアが9.6→8.6に下がったのは「軽症化」ではなく、攻撃経路の条件が整理されただけ
PDFは仕事でも普段使いでも避けられないフォーマットです。「Acrobatなんて使ってないし」という方も、インストールしたまま放置している可能性があります。この機会にバージョンだけでも確認しておくことをおすすめします。
- Adobe rolls out emergency fix for Acrobat, Reader zero-day flaw – BleepingComputer
- Adobe issues emergency fix for Acrobat Reader flaw exploited in the wild (CVE-2026-34621) – Help Net Security
- Acrobat Reader zero-day exploited in the wild for many months (CVE-2026-34621) – Help Net Security
- Adobe Patches Actively Exploited Acrobat Reader Flaw CVE-2026-34621 – The Hacker News
- Security update available for Adobe Acrobat and Reader|APSB26-26 – Adobe Security Bulletin(公式)
