「PDFを開くだけで情報が盗まれる」 Adobe Acrobat／Readerにゼロデイ脆弱性：セキュリティニュースアラート

Adobeは、「Adobe Acrobat」および「Adobe Acrobat Reader」に重大な脆弱性が存在し、実際に悪用が確認されていると公表した。細工されたPDFにより任意コード実行の恐れがあり、最新版への更新を強く求めている。

[ITmedia エンタープライズ編集部，ITmedia]

　Adobeは2026年4月11日（現地時間）、同社のPDF閲覧ソフトウェア「Adobe Acrobat」および「Adobe Acrobat Reader」に関する重大なセキュリティ更新を公開した。対象となる脆弱（ぜいじゃく）性は、悪用された場合に任意のコードが実行される可能性がある深刻なもので、既に実際の攻撃も確認されている。

Adobeが認めた攻撃の全貌　修正プログラム未適用のリスクも

　今回の問題は「CVE-2026-34621」として識別され、オブジェクトのプロトタイプ属性の不適切な制御に起因するものとされる。CVSSスコアは8.6と高く、影響範囲はWindowsおよびmacOS用の複数バージョンにおよぶ。Acrobat DCおよびReader DCの旧版、ならびにAcrobat 2024の一部バージョンが対象となる。

　セキュリティ脆弱性の影響を受ける製品およびバージョンは次の通り。

• Acrobat DC 26.001.21367以前（Windows、macOS）
• Acrobat Reader DC 26.001.21367以前（Windows、macOS）
• Acrobat 2024 24.001.30356以前（Windows、macOS）

　Adobeは利用者に対し、最新バージョンへの更新を強く推奨している。更新はアプリケーション内の機能から手動で実行できるほか、自動更新にも対応する。IT管理者用には、各種管理ツールやリモート手段を用いた展開方法も案内されている。

　セキュリティ脆弱性が修正された製品およびバージョンは次の通り。

• Acrobat DC 26.001.21411（Windows、macOS）
• Acrobat Reader DC 26.001.21411（Windows、macOS）
• Acrobat 2024 24.001.30362（Windows）
• Acrobat 2024 24.001.30360（Mac）

　この脆弱性はセキュリティ研究者のHaifei Li氏によって発見された。同氏の分析によって、実際の攻撃は極めて巧妙な構造を持つことが明らかになっている。

　攻撃は、不審なPDFファイルから始まった。このファイルは一見すると通常の文書だが、内部には難読化されたJavaScriptコードが埋め込まれていた。解析の結果、このコードはPDF内部のデータを復号し、実行する仕組みを備えていた。

　復号されたスクリプトは、利用環境の詳細な情報を収集するものだった。言語設定やソフトウェアのバージョン、OS情報、PDFの保存パスなどを取得し、外部サーバへ送信する動作が確認された。通信先は攻撃者が管理するサーバであり、収集データは後続攻撃に利用される可能性がある。

　このスクリプトは、ローカルファイルを読み取ることも可能だった。実験では、システムファイルの内容を取得して外部に送信する挙動も再現された。このため、追加の攻撃がなくても情報漏えいに至る恐れがある。

　特徴的なのは、攻撃がフィンガープリンティング型という点だ。外部サーバは送信された環境情報を基に、標的に適した追加コードを返す仕組みを持つとみられる。実際の検証において、条件に合致しない場合には攻撃コードが返されないケースも確認されている。

　サーバから返されるコードは暗号化されており、解析や検知を難しくする仕組みも組み込まれている。この構造によって、ネットワーク監視のみでは攻撃の全体像を把握しにくい。

　検証環境では、当時の最新版でも、この初期段階の処理が実行されることが確認された。これは、修正前の状態ではPDFを開くだけで攻撃の一部が実行される恐れがあることを示している。

　Adobeはこうした状況を踏まえ、迅速な更新適用を呼びかけている。併せて、不審なPDFファイルの取り扱いに注意するよう警告している。特に、信頼できない送信元からのファイルについては、開封を控えることが望ましい。

　今回の事例は、PDFという日常的に利用される形式が攻撃経路となり得ることを改めて示した。利用者と管理者の双方において、ソフトウェア更新と基本的なセキュリティ対策の徹底が求められる。