Adobe製品に「緊急」の脆弱性 PDFファイルを開くだけで攻撃可能

Adobeは、AcrobatとReaderに任意コード実行の恐れがある深刻な脆弱性が存在すると発表した。細工されたPDFファイルを開くだけで攻撃が発動することが分かっており、実際の悪用も確認されている。

[＠IT]

　Adobeは2026年4月11日（現地時間）、同社のPDFソフト「Adobe Acrobat」および「Adobe Reader」に関するセキュリティ更新を公開した。「Windows」版と「macOS」版の両製品が影響を受ける。

細工されたPDFファイルを開くだけ　攻撃手法の詳細と対策

　今回見つかった脆弱（ぜいじゃく）性は、任意コード実行につながる重大なものだ。共通脆弱性識別子は「CVE-2026-34621」で、スコアは8.6、深刻度「Critical」（緊急）と評価されている。Adobeは同脆弱性が既に攻撃で利用されている事実を把握しているという。

　今回影響を受けるのは、「Adobe Acrobat DC」および「Adobe Acrobat Reader DC」のバージョン26.001.21367以前、Acrobat 2024の24.001.30356以前だ。修正後のバージョンとして、Adobe Acrobat DCとAdobe Acrobat Reader DCは26.001.21411、「Acrobat 2024」はWindows版24.001.30362およびmacOS版24.001.30360が提供されている。

　問題の原因は「Prototype Pollution（プロトタイプ汚染）」と呼ばれる不適切なオブジェクト属性操作であり、これにより攻撃者が不正なコードを実行する可能性がある。

　Adobeは利用者にアップデートを強く推奨している。更新はアプリケーション内のメニューから手動で実行できる他、自動更新機能によっても適用できる。管理環境において各種配布手段を通じた導入が可能だ。

　今回の脆弱性の発見はセキュリティ研究者ハイフェイ・リー氏によるものであり、同氏の分析から攻撃の詳細な仕組みも明らかになっている。

　公開された分析によると、攻撃は細工されたPDFファイルを開くだけで発動する。ファイル内部には難読化されたJavaScriptが含まれており、Base64形式で隠されたコードを復号して実行する構造を持つ。このコードはまず、Adobe Readerの特権APIを利用して外部サーバと通信する。

　攻撃コードは端末の言語設定やソフトのバージョン、OSの詳細情報、PDFファイルの保存場所といった環境情報を収集し、URLパラメーターとして攻撃者のサーバに送信する。ローカルファイルを読み取るAPIも悪用され、システム内部のデータ取得が可能になっていることが確認された。

　通信先サーバからは追加のJavaScriptが返される仕組みであり、このコードは暗号化されている。これによって通信内容の検知が難しくなる。解析において、攻撃者が条件に応じて別の不正コードを送り込む構成が示唆されており、環境に応じた攻撃を選別する「フィンガープリンティング型」の特徴が見られる。

　検証では最新版（24.001.30356）のAdobe Reader環境でも情報収集機能が動作した。外部サーバから返されたコードがクライアントで実行されることも確認されている。これは追加の攻撃、すなわちサンドボックス回避や完全なコード実行につながる可能性を示す。ローカルファイルを読み取り外部に送信する動作も確認されており、単独でも情報漏えいの危険がある。

　検出の観点において、この攻撃は高度な難読化と段階的な処理を使うため、従来のシグネチャ型対策では見逃される可能性がある。実際、分析時点でのウイルス検知率は低かったと報告されている。

　防御策としては、最新パッチの適用が有効だ。加えて、不審なPDFファイルの開封を避けること、通信ログの監視、特定のユーザーエージェント文字列を含む通信の確認などが有効とされる。今回の事例は、PDFという一般的なファイル形式が攻撃経路として悪用される現状を示すものだといえるだろう。