Adobeは2026年6月9日(米国時間)、PDFソフト「Adobe Acrobat」「Adobe Acrobat Reader」のセキュリティアップデート(速報番号 APSB26-63)を公開しました。修正された脆弱性は合計20件で、うち15件は最も深刻度の高い「クリティカル(Critical)」です。現時点で悪用は確認されていませんが、細工されたPDFファイルを開くだけで任意のコードが実行され得るものを含みます。Acrobat/Readerはほぼすべての業務PCに入っているため、情シスとしては全社一斉の早期適用が今回の要点です。
この記事でわかること
- 今回(2026年6月)のAcrobat/Reader脆弱性の概要と深刻度
- 情シスが押さえるべき影響範囲と優先度の考え方
- 更新適用と運用でつまずきやすいポイント、公的指針の参照先
何が起きたのか?
Adobeが月例のセキュリティ更新で、Acrobat/Readerの脆弱性20件をまとめて修正しました。内訳はクリティカル15件、重要(Important)5件です。クリティカルの多くは「解放済みメモリの使用(Use After Free)」「境界外書き込み(Out-of-bounds Write)」「バッファオーバーフロー」といったメモリ破壊系で、悪用に成功すると任意コード実行、アプリのクラッシュ(サービス拒否)、メモリ内情報の漏えいにつながる恐れがあります。CVSS v3.1の基本値はクリティカルで7.4〜7.8、重要で5.5と公表されています。
代表的なものとしてCVE-2026-47916、CVE-2026-47937、CVE-2026-47952、CVE-2026-47965などが含まれます。Adobeはこれらについて「悪用は確認していない」としていますが、深刻度の高さを踏まえると、攻撃者の解析が進む前に塞いでおきたい内容です。
影響を受ける環境は?
対象はWindowsおよびmacOS版のAcrobat/Readerで、継続更新トラック(Continuous)に加え、企業で固定運用されることの多いClassicトラック(2024/2020系)も含まれます。正確な対象ビルドと修正後バージョンはAdobeの速報APSB26-63に一覧があるため、自社の配布バージョンと突き合わせて確認してください。
| 項目 | 内容 |
|---|---|
| 速報番号 | APSB26-63 |
| 公開日 | 2026年6月9日(米国時間) |
| 対象製品 | Adobe Acrobat / Acrobat Reader(Windows・macOS) |
| 脆弱性件数 | 20件(Critical 15/Important 5) |
| 主な影響 | 任意コード実行、サービス拒否、メモリ情報漏えい |
| 悪用状況 | 確認されていない(公開時点) |
想定されるリスクは?
最大の懸念は「PDFを開くだけ」で成立し得る攻撃です。PDFはメールの添付や取引先からの見積書・請求書として日常的にやり取りされるため、利用者が不審を抱きにくい入口です。クリティカルな脆弱性が任意コード実行を許せば、その端末を起点にマルウェア感染や横展開へ進む典型的な侵入経路になり得ます。今回は悪用未確認ですが、過去には2026年4月に実際にゼロデイとして悪用されたAcrobat Readerの脆弱性(CVE-2026-34621、緊急修正済み)もあり、Acrobat/Readerは攻撃者に継続的に狙われる定番ソフトだと認識しておくべきです。
現場目線の課題
正直なところ、Acrobat/Readerの更新は「やればいい」と分かっていても全台に行き渡らせるのが難しい領域です。自動更新を有効にしていても、長期間再起動しないPCや、ネットワーク的に隔離された端末、Readerを意図的に古いバージョンで固定している部署が必ず残ります。さらに、署名・帳票系の業務システムが特定バージョンのAcrobatに依存しているケースでは、検証を待つ間に適用が遅れがちです。限られた人員で全端末の適用状況を把握しきれないもどかしさは、多くの情シスが抱える共通の悩みでしょう。だからこそ、配布の仕組み(資産管理・パッチ配信ツール)と「適用できていない端末の可視化」をセットで持っておくことが効いてきます。
情シスはどうすべきか?
まずは深刻度の高さを踏まえ、優先度を上げて全社へ展開することです。具体的な手順や考え方は、自前でチェックリストを作り込むより、公的機関の脆弱性対応・パッチ管理の指針を起点にすると過不足がありません。
- 対象バージョンと修正版の確認:Adobeの速報「APSB26-63」を一次情報として参照する。
- 適用の優先順位付けと運用:IPA「中小企業の情報セキュリティ対策ガイドライン」が、ソフト更新を含む基本対策の進め方の土台になります。
- 利用者への注意喚起:心当たりのないPDF添付を不用意に開かない、といった地道なユーザ教育も併せて。IPA「対策のしおり」が啓発資料として使えます。
あわせて、JPCERT/CCやIPAの注意喚起をウォッチし、悪用が観測され始めた場合に展開を前倒しできる体制にしておくと安心です。
中長期の視点
Acrobat/Readerの月例更新は今後も継続的に出ます。毎回その都度バタつかないために、PDF閲覧ソフトの台帳化、自動更新の標準化、適用状況の定期点検をルーティンに組み込むことが、結局はいちばん負荷の小さいやり方です。特定バージョン依存の業務システムがある場合は、依存を解消する更改計画を中期的に検討しておくと、将来の緊急パッチ適用が一段とラクになります。
まとめ
- Adobeが2026年6月9日、Acrobat/Readerの脆弱性20件(Critical 15件)を修正(APSB26-63)。悪用は未確認だが任意コード実行の恐れあり。
- 「PDFを開くだけ」で成立し得るため、ほぼ全業務PCが対象。優先度を上げて早期・全社展開を。
- 適用の進め方はIPA等の公的指針を起点に。適用漏れ端末の可視化とユーザ教育をセットで運用する。
出典
- Adobe Security Bulletin APSB26-63(Acrobat/Reader): helpx.adobe.com
- Security NEXT「Adobe、『Adobe Acrobat Reader』に20件の脆弱性 – アップデートを公開」: security-next.com
- IPA 中小企業の情報セキュリティ対策ガイドライン: ipa.go.jp
