PDFを開くだけで感染？AdobeのゼロデイCVE-2026-34621の仕組みと今すぐできる対策

そうなんだよ。AdobeのPDFリーダーに深刻なゼロデイ脆弱性が見つかってね、悪意のあるPDFを開いた瞬間にパソコンを乗っ取られる可能性があるんだ。CVE-2026-34621というコードで識別されているよ。

じつはPDFってJavaScriptを実行できる仕組みを持ってるんだよ。今回見つかったのは「プロトタイプ汚染」という脆弱性で、そのJavaScript実行の仕組みに問題があったんだ。

JavaScriptのオブジェクトには「プロトタイプ」という設計図みたいなものがあってね、それを攻撃者が書き換えると、プログラムが予期しない動作をするんだよ。本来は安全なPDF表示の処理が、攻撃者の好き勝手なコード実行に使われてしまうんだ。

まずフィッシングメールで「請求書.pdf」や「契約書.pdf」みたいな悪意あるPDFが送られてきて、ファイルを開いた瞬間に裏でJavaScriptが動き出す。そのJavaScriptがプロトタイプ汚染を使って、任意のコードを実行するんだよ。

うん、2025年12月頃からすでに悪用されていた可能性があるんだ。4月13日にはアメリカのサイバーセキュリティ機関CISAも「悪用が確認された脆弱性」リストに追加したよ。セキュリティ企業のExpmonが野外での攻撃を観測して明らかになったんだ。

AdobeがすぐにパッチをリリースしているからAdobe Acrobat Readerを最新版に更新するのが一番だよ。メニューの「ヘルプ」から「アップデートの確認」で更新できる。バージョン26.001.21411以降にすれば今回の脆弱性は修正されているよ。

そうだね。ゼロデイ脆弱性は修正パッチが出たらすぐ適用するのが鉄則だよ。あとは見知らぬ送信元からのPDFや、突然届いた添付ファイルは開かないことも大事。今回みたいに「開くだけで感染」するタイプは特に危険で、パッチの適用と不審ファイルを開かないという両面での対策が必要なんだ。