仕事の請求書、行政の申請書類、取引先からの提案書——私たちが毎日当たり前のように開いている「PDFファイル」。もし、その中にたった1つでも巧妙な罠が仕込まれていたら、あなたのPCは丸ごと他人の手に渡るかもしれません。
Adobeは2026年4月11日(日本時間)、同社のPDF閲覧ソフト「Acrobat DC」「Reader DC」「Acrobat 2024」に存在していた深刻なゼロデイ脆弱性(CVE-2026-34621)を修正する緊急パッチを公開しました。最大の問題は、この脆弱性がハッカーによって少なくとも4カ月間にわたり、誰にも気づかれずに悪用され続けていたという点です。
CVE-2026-34621の正体:「Prototype Pollution」という攻撃
この脆弱性は「Prototype Pollution(プロトタイプ汚染)」(CWE-1321)と呼ばれる種類に分類されます。やや専門的ですが、噛み砕くと以下のようになります。
Adobe Readerの内部では、より高度な機能を実現するために「JavaScript」が動作しています。この攻撃は、そのJavaScript環境において、プログラムの土台となる「共通の設計図(Object.prototype)」を不正に書き換えてしまうというものです。土台の設計図が改ざんされると、本来なら絶対に実行されないはずの「悪意あるコード」がソフト内で勝手に動き出してしまいます。
攻撃の流れはシンプルかつ恐ろしいものです。ハッカーが細工を施したPDFファイルを作成し、メール添付などで標的に送りつけます。受け取った側がそのPDFをAdobe Readerで開くだけで、WindowsでもmacOSでもシステムが乗っ取られる(任意のコードが実行される)危険性があります。
脆弱性の深刻度を示す国際的な指標「CVSSスコア」は「8.6」。当初は9.6と評価されていましたが、攻撃の起点がネットワーク経由ではなくローカル(ファイルを開く操作が必要)であることから修正されました。それでも「重大(High)」に分類される、極めて危険な状態です。
4カ月間、誰にも気づかれず悪用されていた事実
この脆弱性を発見したのは、セキュリティ研究者のHaifei Li氏(EXPMON創設者)です。同氏のシステムに、何者かが悪意のあるPDFをアップロードしたことが発覚のきっかけでした。
Li氏の調査によると、同じマルウェア入りPDFのコピーがオンラインのスキャンツール「VirusTotal」に初めて登場したのは2025年11月下旬。つまり、修正パッチが公開される2026年4月まで、ハッカーは少なくとも4カ月以上にわたり「誰にも防げない攻撃の裏口」として悪用し続けていた計算になります。
エクスプロイトが発動すると「被害者のシステムを完全に制御される可能性がある」と指摘されており、PC内の文書、パスワード、業務データなど、あらゆる情報が盗まれるリスクがあります。Adobe自身も「この脆弱性が実際に悪用されていることを認識している」と声明を出しています。
米政府も「期限つき」で対応を義務化する事態に
Adobe Acrobatシリーズは全世界のPDF市場で約70%の圧倒的なシェアを持ち、ビジネスの現場でPDFを扱わない日はほぼありません。
事態を重く見た米国CISA(サイバーセキュリティ・社会基盤安全保障庁)は、この脆弱性を「既知の悪用された脆弱性(KEV)」カタログに即座に追加。連邦政府機関に対して、「2026年4月27日までにパッチ適用などの措置を実施すること」を厳格に義務づけました。
政府が期限を区切って対応を命じるレベルの脅威であり、個人ユーザーや一般企業も決して無関係ではいられません。
なぜPDFは「攻撃の入口」になり続けるのか?
PDFは「完成した書類・印刷物」というイメージが強く、WordやExcelのマクロ付きファイルと比べて警戒心が薄くなりがちです。
しかし実際には、PDFは単なる画像ではなく、内部でJavaScriptが動作したり、外部リソースを読み込んだりする機能が備わった「動的」なファイルです。この「安全そうに見えるが、実は裏でプログラムを動かせる」という特性と、Adobe Readerの普及率の高さが、国家支援のハッカーやサイバー犯罪者にとって格好のターゲットになり続ける理由です。
まとめ
PDFはもはや「ただの書類」ではありません。被害を防ぐため、今日中に以下の対策を行ってください。
1.Adobe Reader / Acrobatを最新版に即時アップデートする 修正版はすでに公開されています。アプリを開き、「ヘルプ」>「アップデートの有無をチェック」をクリックして、最新バージョン(Acrobat DCの場合は v26.001.21411 など)へ更新してください。
2.不審なPDFファイルを「絶対に」開かない 「請求書」「見積書」など、もっともらしい件名で届くメールの添付PDFには最大限の警戒を。送信元のメールアドレスが本物か、少しでも違和感がないかを開封前に確認するクセをつけてください。
3.代替のPDFリーダーの併用を検討する すべてのPDFをAdobe製品で開く必要はありません。Foxit ReaderやSumatra PDFなど、機能が限定的で軽量な代替ソフトを普段づかいのメインに据えることで、特定のソフトの脆弱性を狙った攻撃リスクを分散させることができます。
出典:
