PDFを開いた瞬間、PCが乗っ取られる。そんな欠陥が、世界で8億5000万人——世界人口の約1割——が使うAdobe Readerに20件見つかった。日本の政府系機関が「すぐに更新を」と緊急の注意喚起を出した。
Adobe Readerに脆弱性20件
2026年6月10日、情報処理推進機構(IPA)とJPCERT/CCが連名で、Adobe AcrobatおよびReaderの緊急注意喚起を公開した。修正された欠陥は20件。このうち複数件は「緊急」と評価されており、攻撃者がインターネット越しにPCを完全制御できる状態になりうる。WindowsとmacOS、どちらの利用者も対象だ。
PDF閲覧・編集ソフト市場でAdobe Readerが占めるシェアは51%を超える。これだけ普及したソフトの欠陥は、攻撃者にとって何億人もの利用者に一度で届く攻撃経路を意味する。
問題の深刻さはその規模だけではない。今回修正された欠陥のうち1件は、修正が公開されるより前から、すでに実際の攻撃に使われていた。これを「ゼロデイ脆弱性」と呼ぶ——ソフトウェアを作る側がまだ欠陥の存在を把握していないか、修正が間に合っていない状態で攻撃に使われることを指す。しかもこの攻撃ファイルは、ウイルス検出サービスに登録されていたにもかかわらず、検知を逃れていたことがセキュリティ研究者の分析で明らかになった。
対策はAdobe Readerを最新版に更新することだ。ただし、Windows 7/8やmacOS Montereyを使っている場合は今回の修正が届かない——古いOSを使い続けている人は、この穴が塞がれないまま残ることになる。
今回6月の20件修正で事態が収束したわけではない。実は、4月に修正された別の欠陥は、それより5ヶ月前から実際の攻撃に使われていたことが後から判明している。
「開く」だけで終わる攻撃——5カ月間、修正なしで動いていた
攻撃の入り口は、日常の中にある。仕事のメールに添付されたPDF、あるいはウェブ検索の結果から誘導されたサイトでダウンロードしたPDF——それを開いた瞬間に攻撃は完結する。特別な操作は何もいらない。ファイルを開く、ただそれだけだ。
今回の攻撃手口を、セキュリティ研究者が詳しく解析している。攻撃者はそのPDFで、三つの動作を同時に実行していた。まず対象のPCがどんなOSや製品バージョンを使っているかを密かに把握する——いわば「下見」で、そのPCに合わせた攻撃を仕掛けるための準備だ。次に、PC内の機密ファイルを外部のサーバーに送り出す。そして最後に、PCを外部から遠隔操作できる状態を密かに作り上げる。これらがすべて、「開く」という1回の操作だけで自動的に動き出す仕組みだ。
攻撃が始まったのは2025年11月と確認されている。修正パッチが公開されたのが2026年4月。その間、この欠陥の存在を知っていたのは攻撃者だけだった。特定の組織を標的に、巧妙に偽装した文書を使った攻撃だったことも分かっている。
対策の手順はシンプルだ。Adobe Readerを開き、画面上部の「ヘルプ」メニューから「アップデートの確認」を選ぶ。自動更新が有効になっていても反映まで時間がかかる場合があるため、手動で確認することを勧める。今回の対象はWindowsとmacOSのデスクトップ版のみで、スマートフォンやタブレットのAdobe Acrobatアプリは対象外だ。会社支給のPCを使っている場合は、自分で更新せずIT担当者に問い合わせるのが安全な手順になる。
