Adobe Acrobat Reader、悪用中のゼロデイにパッチ配布(CVE-2026-34621 / APSB26-43)
目次
4月11日、Adobeが Acrobat Reader の緊急セキュリティアップデートを配布した。対象は CVE-2026-34621、CVSS スコア 8.6 のプロトタイプ汚染(Prototype Pollution)脆弱性で、セキュリティ研究者 Haifei Li(EXPMON)が4月7日に技術詳細を公開したタイミングとほぼ同期する動きだ。
この脆弱性の悪用自体は 2025年12月から確認されており、既に4ヶ月以上にわたって攻撃が続いていた。
経緯は前回記事にまとめている: Adobe ReaderのゼロデイがPDF経由で4ヶ月間悪用、未パッチのままRCEが成立
今回ようやく CVE が正式に割り当てられ、パッチが提供された。
CVE-2026-34621 の概要
| 項目 | 内容 |
|---|---|
| CVE 番号 | CVE-2026-34621 |
| CWE | CWE-1321(プロトタイプ属性の不適切な変更) |
| CVSS スコア | 8.6(CVSS 3.1) |
| セキュリティ情報 | APSB26-43 |
| パッチ優先度 | Priority 1(72時間以内の適用を推奨) |
| 影響製品 | Adobe Acrobat Reader 24.001.30356以前、26.001.21367以前(Windows/Mac) |
| 攻撃要件 | ユーザーが悪意ある PDF を開く操作のみ |
| 悪用状況 | 野生での悪用確認済み(2025年12月から継続) |
CVSS ベクトルは CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H。スコープ変更(S:C)が含まれており、Adobe Reader のサンドボックスを越えて OS レベルに影響が及ぶことを示している。
脆弱性の技術的背景
CVE-2026-34621 は、Acrobat Reader の JavaScript エンジン内でのプロトタイプ汚染(Prototype Pollution)が根本原因だ。プロトタイプ汚染とは、JavaScript のすべてのオブジェクトが継承する共通祖先 Object.prototype のプロパティを改ざんし、任意のオブジェクトの挙動を操作する手法を指す。
Adobe Reader は PDF 内の JavaScript 実行を許可しており、Object.prototype.__defineGetter__() を悪用することで内部の未公開 API を横取りできる状態だった。これにより本来サンドボックス内に閉じているはずのコードが、サンドボックス外の特権 API(util.readFileIntoStream() 等)を呼び出せるようになる。
攻撃フローは以下の2段階で構成される。
flowchart TD
A[悪意ある PDF を開く] --> B[ステージ1: 難読化 JS ローダー起動<br/>JSFuck で静的解析を回避]
B --> C[Bug 1: ダイアログ API への JS 注入<br/>サンドボックス内から内部 API へアクセス]
C --> D[Bug 2: プロトタイプ汚染による権限昇格<br/>Object.prototype.__defineGetter__ を悪用]
D --> E[未公開特権 API へ無制限アクセス<br/>util.readFileIntoStream / app.trustedFunction 等]
E --> F[システム情報フィンガープリント収集<br/>OS バージョン・AV 製品・言語設定]
F --> G[C2 サーバーへビーコン送信]
G --> H{サンドボックス環境か判定}
H -->|Yes| I[攻撃を中断し検出を回避]
H -->|No| J[AES-CTR 暗号化ペイロードを受信<br/>(悪意あるコード本体)]
J --> K[eval でコード実行 / RCE 成立]
K --> L[レジストリ Run キーで永続化]Bug 1 でサンドボックスの壁を超え、Bug 2 で権限を昇格させるという2段階の連鎖がこの攻撃の核だ。バッファオーバーフローのようなメモリ破壊を使わないロジックベースの脆弱性であるため、従来の検出手法が効きにくく、検出率が低いまま長期間悪用が続いた。
APSB26-43 パッチの内容
Adobe のセキュリティ情報 APSB26-43 によれば、Priority 1 評価が付与されている。Priority 1 は Adobe が定義する最高優先度で「72時間以内の適用」を求めるレベルだ。
適用後の安全なバージョン(Adobe 公式推奨)は以下の通り。
| 製品 | プラットフォーム | 更新バージョン |
|---|---|---|
| Acrobat DC (Continuous) | Windows / Mac | 26.001.21380以降 |
| Acrobat Reader DC | Windows / Mac | 26.001.21380以降 |
| Acrobat 2024 | Windows / Mac | 24.001.30372以降 |
更新は Adobe の自動更新機能(ヘルプ > アップデートを確認)から適用できる。企業環境では Acrobat Update Server(AUS)または IT 管理ツール経由での一括配布が推奨される。
攻撃の経緯とタイムライン
| 日時 | 出来事 |
|---|---|
| 2025年12月 | 実際の攻撃が開始(後に確認) |
| 2025年11月下旬 | EXPMON が異常な PDF サンプルを検知 |
| 2026年4月7日 | Haifei Li が技術詳細を公開 |
| 2026年4月11日 | Adobe が CVE を割り当て・APSB26-43 を配布 |
| 2026年4月12日 | 各 CERT・セキュリティ機関が緊急勧告を発出 |
公開から 4〜5 日でパッチが提供されたのは比較的迅速な対応だが、技術詳細の公開前からすでに 4 ヶ月以上の悪用期間があった。
パッチ適用だけでなく、既に攻撃を受けていないかの調査も必要になる。
攻撃対象はロシア語圏の組織(エネルギーインフラ・政府機関)が中心と推定されているが、インフラを切り替えての継続的な攻撃活動や、他の攻撃グループによる模倣攻撃に転用されるリスクがある。
侵害確認(IOC)
パッチ適用前の期間に Adobe Reader を使用していた環境では、以下を確認する。
ネットワーク側の確認ポイント
- User-Agent に
Mozilla/3.0 (compatible; Adobe Synchronizer 23.8.20533)を含む外向き通信 - 以下の C2(攻撃者の指令サーバー)への通信
188.214.34.20:34123(キプロス・EDIS GmbH)169.40.2.68:45191(ラトビア・VEESP)- ドメイン
ado-read-parser.com
エンドポイント側の確認ポイント
- レジストリキー
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Adobe Reader Synchronizerの存在 - Mutex
Global_MSIExecute、Global\AdobeCrashProcessorLocalLowLock
C2 インフラは公開後にオフライン化したとの報告があるが、同じ手口で別インフラへ移行するケースは攻撃グループにとって常套手段だ。
対応の優先順位
パッチ適用が最優先だが、企業環境では即時全台への適用が難しい場合もある。その場合の暫定措置として、PDF をブラウザ内蔵のビューア(Chrome、Firefox)で開く運用への切り替えが有効だ。ブラウザ内蔵ビューアは Acrobat の JavaScript API を持たないため、このエクスプロイトは成立しない。
なお、Adobe Reader の JavaScript 実行を無効化する設定(環境設定 > JavaScript > AcrobatJavaScriptを有効にする のチェックを外す)も回避策になるが、JavaScript に依存するフォームや対話型 PDF が動かなくなる。