Adobe Readerゼロデイ、4か月潜伏とCVSS降格
Adobe AcrobatとReaderに潜むゼロデイが、4か月以上静かに稼働していた。Adobeは修正パッチを公開した翌日、この脆弱性のCVSS値を9.6から8.6へひっそり引き下げている。
Adobe AcrobatとReaderに潜むゼロデイが、4か月以上静かに稼働していた。Adobeは修正パッチを公開した翌日、この脆弱性のCVSS値を9.6から8.6へひっそり引き下げている。
4か月以上、気づかれなかった脆弱性
脆弱性CVE-2026-34621は、少なくとも2025年11月28日にはVirusTotalへ最初の検体が提出されていた。検体名は「Invoice540.pdf」。請求書を装う、ありふれた手口だ。
発見したのはサンドボックス型検知プラットフォームEXPMONの創設者Haifei Li氏である。3月下旬にEXPMONへ投げ込まれた別サンプルの挙動から、彼はこの異常を拾い上げた。Adobe Reader内部で特権APIが呼び出される、本来ありえない経路が検出されたのだ。
業界がこの攻撃に気づくまで、ざっと4か月以上の空白があったことになる。セキュリティ製品の網を4か月間すり抜けた事実は、攻撃側の巧妙さを語る前に、検知側が何を見ていないかを突きつける。
「指紋採取」という異質な設計
この攻撃の不気味さは、破壊ではなく「選別」に設計されている点にある。
攻撃者はまず開いた環境の情報を収集し、条件を満たした端末にだけ次段階のペイロードを送る。Li氏が「指紋採取型」と呼んだのは、この慎重さのためだ。
具体的には、Acrobatの特権APIである util.readFileIntoStream() と RSS.addFeed() を悪用し、ローカルファイルを読み取って攻撃者のサーバへ送信する。送られた情報をもとにサーバ側が「価値ある標的か」を判定し、合格した端末にのみAES暗号化されたJavaScriptペイロードを返す仕組みだ。
研究者の調査環境では、サーバからの追加ペイロードは降ってこなかった。条件を満たさなかったか、あるいはIPレベルで遮断された可能性がある。いずれにせよ、誰でも踏めば被害に遭う罠ではない。攻撃者が「選んだ相手」にだけ作動する、静かに動くタイプの仕掛けだった。
So, this is what I was busy working on.. A really interesting (and sophisticated) Adobe Reader PDF "fingerprinting" exploit involving zero-day and allowing to launch additional maybe RCE/SBX exploitation!https://t.co/k3Rmy8k4rS
— Haifei Li (@HaifeiLi) April 8, 2026
標的はロシア語圏か
囮として表示されるPDFの中身にも示唆がある。マルウェア研究者Giuseppe Massaro氏の分析によれば、検体はいずれもロシア語の文書を画像として表示しており、内容はガス供給の混乱や緊急対応に関するものだった。
ロシアの石油・ガス業界、政府機関、インフラ事業者。囮文書のテーマが示唆するのは、そうした組織で働く人々の画面だ。
もちろんこれは状況証拠にすぎない。攻撃者が誤認を誘うために無関係なテーマを囮に使うことは珍しくないからだ。ただ、指紋採取型の選別ロジックと組み合わせて考えれば、「誰でも感染させたい」攻撃者の手口ではないことは読み取れる。
パッチ公開、そして静かなCVSS下方修正
Adobeは2026年4月11日(米時間)、セキュリティ速報APSB26-43としてこの脆弱性の修正版を公開した。優先度は最上位の「Priority 1」、72時間以内の適用が推奨されるクラスである。
影響を受けるバージョンと修正後のビルドは、Acrobat DCおよびAcrobat Reader DCが26.001.21367以前で26.001.21411にて修正、Acrobat 2024は24.001.30356以前で、Windowsは24.001.30362、macOSは24.001.30360にて修正される。
| 製品 | 影響バージョン | 修正バージョン |
|---|---|---|
| Acrobat DC | 26.001.21367以前 | 26.001.21411 |
| Reader DC | 26.001.21367以前 | 26.001.21411 |
| 2024 (Win) | 24.001.30356以前 | 24.001.30362 |
| 2024 (mac) | 24.001.30356以前 | 24.001.30360 |
注目すべきは、Adobeがこの速報を公開した翌日、4月12日にCVSS値をひっそりと修正していることだ。当初9.6だったスコアが、8.6へ引き下げられた。変更の正体は攻撃ベクトルで、ネットワーク(AV:N)からローカル(AV:L)へ再分類されている。
技術的に筋の通った調整ではある。PDFを開く行為はユーザーがローカルで実行するものだから、厳密にはローカルベクトルだ。とはいえ、開くだけで発動するゼロデイを「ローカルだから」と採点し直す判断は、読み手としては素直にうなずきにくい。
数字としては1ポイントの差だが、評価区分はCriticalからHighへ落ちる。組織が優先度判定に使う境界線を、この調整はまたいでいる。
開くだけで発動する、という現実
この事案が突きつけているのは、「添付PDFを開く」という、もはや呼吸のように日常化した動作そのものの危うさだ。
クリックでもマクロでもなく、ただ開いた瞬間に端末情報が吸い上げられる。その状態で4か月間誰にも気づかれなかった事実こそ、最も重い。
署名済みベンダーの最新版を使っていてもなお、誰かの標的リストに静かに載ることがある。それが今の現実だ。
参照元
関連記事
- Adobe Readerゼロデイ、PDFを開くだけで情報流出
- Windowsゼロデイ「BlueHammer」流出、MSRCへの怒りが引き金
- CPU-Z・HWMonitor、公式サイトからマルウェア配布
- Flatpakに致命的な脆弱性、サンドボックスを完全に突破される
- Firefox 149.0.2公開、5件の高深刻度脆弱性を修正
- AnthropicのClaude Mythosが「すべての主要OS・ブラウザ」で数千のゼロデイ脆弱性を発見、危険すぎて一般公開せず
- Claude Codeソース流出が招いた罠:偽リポジトリがマルウェアを配布
- Apple、異例の「バックポート」でiOS 18にDarkSword対策パッチを配信
- ChatGPTの「安全な箱」にDNSの穴——データ漏洩脆弱性の全容
- ハンガリー政府職員のパスワードが「FrankLampard」だった話
