アドビ(Adobe)は、WindowsおよびmacOSの両プラットフォームでAdobe AcrobatおよびReaderを使用しているユーザーに影響を与える深刻な脆弱性「CVE-2026-34621」が、すでに攻撃者に悪用されていることを正式に認めた(APSB26-43)。この脆弱性を突いたエクスプロイトは任意のコード実行を可能にし、悪意あるPDFドキュメントを開くだけで発動する──それ以上のユーザー操作は一切不要だ。アドビはセキュリティアップデートを72時間以内にインストールするよう呼びかけている。
編注:アドビが直接的に「72時間以内」と挙げているわけではない。本稿では、APSB26-43の優先度(Priority)が「1」であること、緊急度のレート(Rating)が「クリティカル」となっていることから、「セキュリティ緊急度」ページの情報をもとに「72時間以内」と記載している。
アドビの優先度1(Priority 1)の定義は「現在攻撃の対象となっている脆弱性、または攻撃対象になるリスクが比較的に高い脆弱性を解決します。この優先度のアップデートは、システム管理者によって直ちに適用されることを推奨します(例えば72時間以内)」とされている。
サイバーセキュリティの脅威においてアドビのPDF文書が悪用されることは、決して珍しくない。たとえばソーシャルエンジニアリング(人間の心理的な隙を突く手口)を用いる攻撃者にとって、PDFは主要な「悪意ある文書」の攻撃経路となっている。
しかし、そうしたファイルを閲覧するために使われるアドビリーダー(Adobe Reader)そのものを標的にしたゼロデイ攻撃(修正プログラムが提供される前の脆弱性を突く攻撃)となると、話は別である。あるセキュリティ研究者が、そのようなゼロデイ脆弱性を悪用した「高度に洗練された、フィンガープリンティング型のPDFエクスプロイト(脆弱性悪用プログラム)」の存在を明らかにしたとなれば、真剣に受け止める必要がある。ましてや、その攻撃が2025年12月から継続しているとなればなおさらだ。
