概要
Adobe は 2026年6月9日(米国時間)、Adobe Acrobat および Adobe Acrobat Reader 向けのセキュリティアップデート(APSB26-63)を公開しました。合計20件の脆弱性が修正されており、そのうち15件はクリティカル(Critical)に分類されています。悪用に成功した場合、任意コードの実行(Remote Code Execution) につながる恐れがあります。現時点では野生での悪用は確認されていませんが、Adobe Acrobat・Acrobat Reader を使用している組織は速やかにアップデートを行うことが推奨されます。
目次
1. 何が起きたか
Adobe は 2026年6月9日(米国時間)、いわゆる「パッチチューズデー」(米時間毎月第2火曜日)にあわせて、Adobe Acrobat および Adobe Acrobat Reader 向けセキュリティアップデート APSB26-63 を公開しました。
今回のアップデートでは、Windows・macOS の両プラットフォームに影響する合計20件の脆弱性が修正されています。深刻度の内訳は以下のとおりです。
| 深刻度 | 件数 | 主な影響 |
|---|---|---|
| Critical(クリティカル) | 15件 | 任意コードの実行(RCE) |
| Important(重要) | 5件 | サービス拒否・メモリ情報漏洩 |
| 合計 | 20件 |
Adobe は現時点でこれらの脆弱性が野生で悪用されているとの報告はないとしていますが、クリティカル脆弱性は悪意あるPDFファイルを開くだけで悪用される可能性があるため、早急な対応が求められます。
2. 脆弱性の詳細
クリティカル(Critical)- 15件
すべてのクリティカル脆弱性は任意コードの実行(RCE)につながる可能性があります。CVSSv3.1 ベーススコアは 7.4〜7.8 です。
| CVE 番号 | 脆弱性の種類 | CWE | CVSS スコア |
|---|---|---|---|
| CVE-2026-47911 | 域外書き込み(Out-of-bounds Write) | CWE-787 | 7.8 |
| CVE-2026-47912 | 解放後使用(Use After Free) | CWE-416 | 7.8 |
| CVE-2026-47913 | 解放後使用(Use After Free) | CWE-416 | 7.8 |
| CVE-2026-47914 | 解放後使用(Use After Free) | CWE-416 | 7.8 |
| CVE-2026-47915 | 解放後使用(Use After Free) | CWE-416 | 7.8 |
| CVE-2026-47916 | 解放後使用(Use After Free) | CWE-416 | 7.8 |
| CVE-2026-47917 | 解放後使用(Use After Free) | CWE-416 | 7.8 |
| CVE-2026-47918 | 解放後使用(Use After Free) | CWE-416 | 7.8 |
| CVE-2026-47919 | 解放後使用(Use After Free) | CWE-416 | 7.8 |
| CVE-2026-47920 | 解放後使用(Use After Free) | CWE-416 | 7.8 |
| CVE-2026-47921 | 解放後使用(Use After Free) | CWE-416 | 7.8 |
| CVE-2026-47955 | 解放後使用(Use After Free) | CWE-416 | 7.8 |
| CVE-2026-47959 | スタックベースバッファオーバーフロー(Stack-based Buffer Overflow) | CWE-121 | 7.8 |
| CVE-2026-47952 | ヒープベースバッファオーバーフロー(Heap-based Buffer Overflow) | CWE-122 | 7.8 |
| CVE-2026-47937 | 制御されない検索パス要素(Uncontrolled Search Path Element) | CWE-427 | 7.4 |
重要(Important)- 5件
重要(Important)に分類される5件の脆弱性は、サービス拒否(DoS)またはメモリ情報の漏洩につながる可能性があります。
| CVE 番号 | 脆弱性の種類 | CWE | CVSS スコア | 影響 |
|---|---|---|---|---|
| CVE-2026-47961 | 域外読み取り(Out-of-bounds Read) | CWE-125 | 5.5 | サービス拒否 |
| CVE-2026-47923 | 域外読み取り(Out-of-bounds Read) | CWE-125 | 5.5 | メモリ情報漏洩 |
| CVE-2026-47924 | 解放後使用(Use After Free) | CWE-416 | 5.5 | メモリ情報漏洩 |
| CVE-2026-47925 | 整数オーバーフロー(Integer Overflow) | CWE-190 | 5.5 | サービス拒否 |
| CVE-2026-47926 | 域外読み取り(Out-of-bounds Read) | CWE-125 | 5.5 | メモリ情報漏洩 |
特に注意すべき脆弱性
Use After Free(解放後使用)— 11件(CVE-2026-47912〜47921、CVE-2026-47955)
「Use After Free」は、メモリを解放した後もそのポインタを参照し続けることで発生するメモリ破壊の脆弱性です。攻撃者が細工したPDFファイルをユーザーに開かせるだけで、Acrobat の実行権限でコードを実行させることが可能です。今回の修正でクリティカル11件・重要1件と、最も多く含まれる脆弱性種別となっています。
Uncontrolled Search Path Element(CVE-2026-47937)— CVSS 7.4
DLL ハイジャックにも悪用されうる「制御されない検索パス要素」脆弱性です。Acrobat がライブラリを読み込む際に、攻撃者があらかじめ配置した悪意あるファイルを優先して読み込む可能性があります。管理者権限のある環境では特に注意が必要です。
3. 影響を受けるバージョンと修正版
| 製品 | トラック | 影響を受けるバージョン | プラットフォーム | 修正版 |
|---|---|---|---|---|
| Adobe Acrobat | Continuous | 26.001.21651 以前 | Windows・macOS | 26.001.21662 |
| Adobe Acrobat Reader | Continuous | 26.001.21651 以前 | Windows・macOS | 26.001.21662 |
| Acrobat 2024 | Classic 2024 | 24.001.30365 以前 | Windows・macOS | 24.001.30383 |
4. 対応方法
Adobe は、ユーザーに対して速やかに最新バージョンへ更新することを推奨しています。
手動でのアップデート手順
- Adobe Acrobat または Acrobat Reader を起動する
- メニューバーの 「ヘルプ」 → 「アップデートを確認」 を選択する
- アップデートが検出された場合は、画面の指示に従ってインストールする
- アップデート完了後、バージョンが 26.001.21662(Continuous トラック)または 24.001.30383(Classic 2024 トラック)以上であることを確認する
IT管理者向け(一括管理環境)
管理された環境では、以下の方法でアップデートを配布できます。
- Windows: AIP-GPO、ブートストラッパー、SCUP/SCCM を使用した配布
- macOS: Apple Remote Desktop または SSH を使用した配布
- 最新インストーラーは Adobe の公式リリースノートから取得可能
5. 情シス担当者へのアドバイス
今回のアップデートでは、クリティカル脆弱性15件のうち11件が「Use After Free」という同一種別の脆弱性です。悪意あるPDFファイルをメールに添付して送りつける手口(スピアフィッシング)と組み合わせて悪用されるリスクがあります。
特に以下の点を確認・対応してください:
- 社内端末のバージョン確認: 管理ツール(SCCM、Intune、Jamf 等)を使用して、組織内の Adobe Acrobat / Reader のバージョンを棚卸しする
- 自動アップデートの確認: 自動アップデートが有効になっているか確認する。無効化している場合は、緊急パッチとして手動配布を検討する
- メールセキュリティの強化: 不審なPDFファイルの添付をフィルタリングするメールセキュリティ製品の動作を確認する
- ユーザーへの周知: 「見覚えのないPDFは開かない」「送信元を確認してから開く」よう従業員に周知する
現時点では野生での悪用は確認されていませんが、パッチチューズデー直後は攻撃者が差分を解析してエクスプロイトを開発するケースが多いため、1週間以内のアップデートを目標に対応することを推奨します。