2026 年 6 月、アドビは製品全体の 123 件の脆弱性をカバーするセキュリティ パッチをリリースし、そのうち 47 件は重大と評価されました。 Adobe Acrobat Reader がリストにありました。また、過去数年間、4 月と 3 月、そして基本的にすべてのパッチサイクルでリストに掲載されてきました。ある時点で、「なぜドキュメントを読み取るプログラムにこれほど多くの修正が必要なのか?」と問う価値があります。
その答えは、Adobe が不注意であるというよりも、PDF ファイルが実際に何であるか、そしてそれが定期的にファイルを扱う人にとって何を意味するかに関係しています。
PDF ファイルは見た目よりも複雑です
外部から見ると、PDF はロックダウンされたドキュメントのように見えます。つまり、意図したとおりに保たれた印刷ページのデジタル バージョンです。しかし内部では、PDF 形式は JavaScript の実行、埋め込みフォント、3D オブジェクト、デジタル署名、フォーム フィールド、マルチメディア添付ファイル、外部サーバーへのリンクをサポートしています。これは、単なるテキストの静的なイメージではなく、多用途のコンテナーとして設計されました。
この複雑さこそが、PDF セキュリティ が繰り返し発生する問題の原因となっています。 PDF を便利にするすべての機能 (インタラクティブなフォーム、埋め込みスクリプト、外部リソースを読み込む機能) も、潜在的な攻撃のベクトルとなります。悪意のある PDF は、開いた瞬間には隠しコードが実行されているにもかかわらず、まったく正常に見えることがあります。
これは理論的なものではありません。 2026 年 4 月、Adobe は、Acrobat Reader のゼロデイ脆弱性 (CVE-2026-34621) に対する緊急パッチを発行しました。この脆弱性はすでに悪用されていました。セキュリティ研究者の Haifei Li 氏は、2025 年 11 月に遡ってこの欠陥を悪用した悪意のある PDF サンプルを発見しました。これは、攻撃者が発見される前に数か月間ひそかにこの欠陥を使用していたことを意味します。ファイルを開くだけで十分でした。余分なクリックや許可のプロンプトは必要ありません。 PDF が開き、正常に見え、コードはバックグラウンドで静かに実行されました。
これが繰り返される理由
Adobe Acrobat には、2000 年代初頭から継続的にパッチが適用されてきました。 Adobe が努力していないわけではありません。アップデートのたびに実際の穴が真に塞がれています。 The problem is structural: Acrobat is a large, old codebase that has to handle an enormous variety of PDF files, including ones created decades ago with different assumptions about security.研究者が PDF 機能を悪用する新しい方法を発見するたびに、新しいパッチが必要になります。
2026 年 6 月のパッチ火曜日バッチには、Acrobat Reader の任意のコード実行と権限昇格の脆弱性に対する修正が含まれていました。これは、ほぼすべての Adobe セキュリティ情報に掲載されているものと同じカテゴリです。これらは特殊なケースではありません。ヒープベースのバッファ オーバーフロー、解放後の使用エラー、範囲外の読み取りなど、基礎となるアーキテクチャが繰り返しの機会を生み出すため、これらの脆弱性の種類は繰り返し発生します。
攻撃者もそれを知っています。 PDF ベースの攻撃は十分信頼できるため、2026 年になってもマルウェアの標準的な配信メカニズムであり続けます。このファイル形式は遍在しているため、ほぼすべてのデバイスで PDF を開くことができ、魅力的な標的となっています。
間違ったファイルを開いたときに実際に何が起こるか
2026 年 4 月のゼロデイは、PDF ベースの攻撃が実際にどのようなものかを示す有益なケーススタディです。この脆弱性は、Acrobat Reader による JavaScript の処理方法の欠陥、具体的には、攻撃者がアプリケーションの JavaScript オブジェクトの動作を変更できるプロトタイプ汚染バグを悪用することで機能しました。
被害者が悪意のある PDF を開くと、隠しコードがリモート サーバーから追加の JavaScript を取得し、Acrobat Reader 内で実行する可能性があります。そこから、アプリケーションがアクセスできるものを制限するために Acrobat が使用するサンドボックス保護をバイパスして、ローカルマシンからファイルを盗んで送信する可能性があります。セキュリティ研究者は、完全なリモート コード実行を達成しなくても、ローカル ファイルの盗難が可能であることを確認しました。
わかりやすく言うと、誰かが請求書、契約書、レポートのような PDF をあなたに送信します。 PDF エディタ またはビューアを使用して開きます。画面上では何も異常なことは起こりません。その間、ファイルは読み取られ、別の場所に送信されます。
実際にリスクを軽減する習慣
PDF ソフトウェアを常に最新の状態に保つことは、できる限り最も重要なことであり、オプションではありません。 4 月のゼロデイは、Adobe がパッチを適用するまでの数か月間悪用されていました。その期間中、パッチが適用されていないバージョンの Acrobat Reader を実行している全員が危険にさらされました。パッチが出荷された後、ウィンドウは閉じられましたが、それは実際にパッチをインストールした人だけでした。
ソースはほとんどの人が思っている以上に重要です。同僚、既知のベンダー、確立された機関からの PDF は、電子メールで一方的に受信したり、見覚えのないメッセージの添付ファイルとして表示されたり、明確な送信元のないファイル共有リンクから送信された PDF とは異なるリスク プロファイルを伴います。それはすべての文書について偏執的になる理由ではありませんが、予期しないものを開く前に一時停止する理由にはなります。
Acrobat Reader で JavaScript を無効にすると、攻撃対象領域のかなりの部分が削除されます。ほとんどの日常的な PDF ツール タスク (ドキュメントの読み取り、フォームへの入力、署名の追加) には JavaScript はまったく必要ありません。 Acrobat の環境設定の [編集] > [編集] でオフにできます。設定 > JavaScript。トレードオフとして、一部の複雑なインタラクティブな PDF が正しく動作しない可能性がありますが、ほとんどのユーザーにとって、これは合理的な交換条件です。
PDF をどこで処理するかが重要な理由
デスクトップ PDF ソフトウェアには、ブラウザベースのツールにはない固有のリスクが伴います。ローカルにインストールされたアプリケーションの脆弱性は、ファイル システム、ネットワーク、その他の実行中のソフトウェアと相互作用する可能性があります。これが、4 月のゼロデイが悪用された環境です。Acrobat Reader によるローカル ファイルへのアクセスが、データ盗難を可能にしたものです。
ブラウザベースのツールは、根本的に異なる環境で動作します。ドキュメントを WukongPDF にアップロードして圧縮、結合、または変換する場合、その処理は、デスクトップ アプリケーションとは異なりローカル システムにアクセスできないサンドボックス Web 環境で行われます。マシン上でパッチを適用する必要がある永続的なソフトウェアが実行されることはなく、更新サイクルの間に悪用されるアプリケーション レベルの脆弱性もありません。
これは、複雑な PDF Workflow のニーズに対応するデスクトップ ソフトウェアに反対する議論ではありません。フル機能のローカル アプリケーションが合理的である正当なケースもあります。しかし、最も一般的な文書タスクでは、アーキテクチャの違いが重要です。ブラウザーのタブで実行して閉じるツールは、システムに深くアクセスする永続的なアプリケーションよりも攻撃対象領域がはるかに小さくなります。 PDF が攻撃ベクトルとして一貫して使用されていることを考えると、その違いは考慮に入れる価値があります。