Adobe Acrobat Reader ゼロデイ CVE-2026-34621 ─ PDFを開くだけでローカルファイル窃取・任意コード実行

「PDFを開くな」ではなく「今すぐパッチを」

2026年4月12日、Adobeは Acrobat Reader のゼロデイ脆弱性 CVE-2026-34621 に対する緊急セキュリティアップデートを公開した。CVSS スコアは 8.6（重大）。

この脆弱性の発端は、さかのぼること約3ヶ月。2026年3月26日、セキュリティ研究者の Haifei Li 氏が運営する自動エクスプロイト検知システム「EXPMON」に、不審なPDFサンプルが提出された。解析の結果、このPDFはAcrobat Readerの未知の脆弱性を悪用してローカルファイルを外部に送信する実際の攻撃コードを含んでいた。提出時点ではVirusTotalの64エンジン中わずか 13エンジンしか検知できなかった——世界中の組織のシステムで、知らぬ間にPDFを通じた情報窃取が進んでいた可能性が高い。

Adobe がパッチを公開したのは発見から17日後の4月12日だ。一般ユーザーがパッチを当てる機会を持てる前に、脆弱性は4ヶ月半以上にわたって実環境で悪用されていたことになる。

---

プロトタイプ汚染とは何か

CVE-2026-34621の核心にある「プロトタイプ汚染（Prototype Pollution）」は、JavaScriptエンジンの仕組みを悪用した攻撃手法だ。

JavaScriptのプロトタイプ継承

JavaScriptのすべてのオブジェクトは「プロトタイプチェーン」と呼ばれる継承構造を持つ。Object.prototype はすべてのオブジェクトの大元となる祖先オブジェクトで、ここに定義されたプロパティはすべてのオブジェクトから参照できる。

// 通常の動作
const obj = {};
console.log(obj.toString); // Object.prototype.toString が参照される

// プロトタイプ汚染の仕組み（概念例）
// 攻撃者が Object.prototype にプロパティを注入できた場合
Object.prototype.malicious = () => { /* 悪意ある処理 */ };

// すべてのオブジェクトに突然 malicious プロパティが現れる
const innocent = {};
innocent.malicious(); // 感染する！

Adobe Acrobat Reader はPDFの高機能なコンテンツ（フォーム・インタラクティブ機能・計算式など）を実現するためにJavaScriptエンジンを内蔵している。CVE-2026-34621 はこのJavaScriptエンジンにおいて、攻撃者がオブジェクトのプロトタイプを汚染できるバグだ。これによりAcrobat内部のJavaScriptオブジェクトの挙動を改ざんし、本来は許可されていない操作を実行できるようになる。

---

攻撃の実際 ─ PDFで何が起きているか

EXPMONと複数のセキュリティ研究者の分析から、攻撃の流れが明らかになっている。

Step 1: 悪意あるPDFの配布 攻撃者はターゲットにフィッシングメールや偽の共有ドキュメントリンクを通じて悪意あるPDFを送り付ける。ファイルの外見は通常のビジネス文書（請求書・提案書・入国書類など）と区別がつかない。

Step 2: プロトタイプ汚染のトリガー PDFを開いた瞬間、埋め込まれたJavaScriptがAcrobat Readerの内部で実行され、プロトタイプ汚染を引き起こす。これにより通常は制限されているはずのAPIが呼び出し可能になる。

Step 3: ローカルファイルの読み取りと窃取 プロトタイプ汚染によって解放された util.readFileIntoStream() APIを使い、被害者のローカルディスク上のファイルを読み取ることができる。標的になりやすいのは：

• ブラウザのプロファイルデータ（保存パスワード・Cookieなど）
• SSHキー（~/.ssh/）
• クラウド認証情報（~/.aws/credentials など）
• 環境変数ファイル（.env）
• 業務文書・設計図・財務データ

Step 4: 外部サーバーへの送信 窃取したデータは RSS.addFeed() というAPIを悪用して、攻撃者が制御するサーバーに静かに送信される。ユーザーには何も通知されない。

---

なぜ3ヶ月近く気づかれなかったか

CVE-2026-34621が長期間にわたって発見されずに悪用され続けた背景には、いくつかの要因がある。

低い初期検出率 攻撃者が悪用していたエクスプロイトは、発見当初VirusTotalで64エンジン中13エンジンしか検出できなかった。過半数のセキュリティ製品をすり抜ける精度の高い難読化が施されていた。

「既知の良性アプリ」内でのコード実行 攻撃はAcrobat Reader内部のJavaScriptとして実行される。外部からシェルコードを投入したり、別プロセスを起動したりしないため、プロセスベースの監視では捉えにくい。

正規APIの悪用 util.readFileIntoStream() も RSS.addFeed() も Acrobat Reader の正規機能だ。これらのAPIが「悪意ある文脈」で使われていることを区別するには、コンテキスト込みの挙動解析が必要になる。

---

影響を受けるバージョンとパッチ適用

Acrobat Reader の自動更新が有効な場合、パッチは自動的に適用されているはずだ。しかし企業環境では IT 管理者が手動でパッチを展開するケースも多い。社内環境のバージョン確認とアップデート状況の確認を優先的に実施することを推奨する。

JavaScriptの無効化（暫定対策）

パッチをすぐに適用できない場合の暫定措置として、Acrobat Reader のJavaScript実行を無効化することで攻撃の主要な実行経路を塞ぐことができる。

編集 → 環境設定 → JavaScript
→「AcrobatJavaScriptを使用」のチェックを外す → OK

ただし一部のPDFフォームや機能が動作しなくなる可能性があることは承知の上で設定すること。

---

PDF ゼロデイの繰り返すパターン

Adobe Acrobat Reader のゼロデイは今回が初めてではない。Acrobat は全世界で数十億件インストールされている最もポピュラーなドキュメントリーダーの一つであり、攻撃者にとって最も投資対効果の高いターゲットの一つだ。

特に企業環境での注意点として：

• メールの添付PDFはフィッシングの主要な媒体のひとつ。不審な送信元からのPDFは Acrobat Reader 以外の、JavaScript非対応の軽量ビューアで開くことも検討できる
• ゼロデイが悪用されている期間は「パッチが出るまでの数ヶ月」が普通。定期的なアップデートと脆弱性情報の把握が唯一の対抗手段
• 同類の攻撃として、かつての PDFマクロ攻撃 が典型だが、プロトタイプ汚染という新しい経路での悪用はセキュリティベンダーの検知シグネチャが整備されるまでに時間がかかる

---

まとめ

CVE-2026-34621 は「PDFを開く」という日常業務の動作を攻撃起点にする点で、防御がとりわけ難しいタイプの脆弱性だ。メール経由で配布される悪意あるPDFを完全に排除することは現実的でなく、エンドポイントのパッチ適用状況の管理が最初の防衛線となる。

今すぐやるべきことは一つ：Adobe Acrobat Reader を最新版にアップデートする。それだけで今回の攻撃経路を完全に塞ぐことができる。

---

参考情報

• Adobe Security Bulletin: APSB26-11（CVE-2026-34621）
• Help Net Security: Adobe issues emergency fix for Acrobat Reader flaw CVE-2026-34621（2026年4月13日）
• The Hacker News: Adobe Patches Actively Exploited Acrobat Reader Flaw CVE-2026-34621（2026年4月13日）
• SecurityAffairs: Adobe fixes actively exploited Acrobat Reader flaw CVE-2026-34621
• EXPMON（Haifei Li）: Initial exploit detection and analysis report
• Vulert: CVE-2026-34621 Adobe Acrobat Reader Vulnerability Analysis