自由掲示板

[全体] 【2026年】PDFを開くだけで感染?Adobe Readerのゼロデイ攻撃(CVE-2026-34621)の全貌

2026.04.13 11:44
照会 82スクラップ 0

2026年4月に発覚したAdobe Readerのゼロデイ攻撃(CVE-2026-34621)。PDFを開くだけでPC情報が盗まれ、遠隔操作まで許す極めて危険な脆弱性の仕組み・対策・IOCを徹底解説します。

 

ゼロデイ攻撃とは?


ゼロデイ攻撃(Zero-Day Attack)とは、ソフトウェアのメーカーがまだ把握していない、または修正パッチを公開していない脆弱性を悪用したサイバー攻撃のことです。「ゼロデイ(0-day)」という名称は、脆弱性が発覚してからメーカーが対応できるまでの猶予がゼロ日である、という意味に由来します。


ゼロデイ脆弱性が悪用されると、ユーザーはセキュリティパッチを適用するという通常の防御手段が取れないため、一般的なアンチウイルスソフトだけでは防御が非常に困難です。2026年4月に発覚したAdobe Readerのゼロデイ攻撃(CVE-2026-34621)は、その典型例であり、PDFファイルを開いただけで攻撃が自動実行される極めて危険なケースとして注目を集めています。

 

目次

  1. 事件の概要:4ヶ月以上にわたり潜伏したゼロデイ攻撃
  2. 攻撃の仕組み:3段階で完結するサイバー攻撃チェーン
  3. 第2の亜種も発見:攻撃者はバージョンアップを続けていた
  4. 標的は誰か?ロシア語・石油ガス産業がキーワード
  5. CVE-2026-34621とは?脆弱性の正式識別番号
  6. IOC(侵害指標)一覧:社内監視に使えるデータ
  7. 今すぐできる対策:パッチが出るまでにやること
  8. ネットの反応:セキュリティ研究者たちの声
  9. よくある質問(FAQ)
  10. 参考・出典

 


1. 事件の概要:4ヶ月以上にわたり潜伏したゼロデイ攻撃

 

2026年4月7日、サンドボックス型エクスプロイト検知システム「EXPMON」の創設者であるセキュリティ研究者Haifei Li氏が、Adobe ReaderのJavaScriptエンジンに存在する未修正のゼロデイ脆弱性(後にCVE-2026-34621として登録)を公表しました。


この脆弱性を悪用した攻撃の痕跡がVirusTotalに初めて登録されたのは2025年11月28日であり、発覚した2026年3月まで、少なくとも約4ヶ月以上にわたって世界中でこのゼロデイ攻撃が検知されることなく継続していたことが判明しています。


特筆すべき点は、VirusTotalでの初期検知率がわずか5/64と極めて低かったことです。高度な難読化技術とサンドボックス回避機能が組み込まれていたため、一般的なアンチウイルス製品ではほぼ無害なファイルとして処理されていました。

 

【2026年】PDFを開くだけで感染?Adobe Readerのゼロデイ攻撃(CVE-2026-34621)の全貌

 

2. 攻撃の仕組み:3段階で完結するサイバー攻撃チェーン

 

このゼロデイ攻撃の最大の特徴は、ユーザーがPDFを開いた瞬間に攻撃が自動で始まる点です。リンクのクリックや、マクロ実行の許可といった追加操作は一切不要です。


攻撃は以下の3段階(フェーズ)で進行します。

 

フェーズ1:ローダー起動(自動実行)
PDF内の隠しフォームフィールド(btn1)に埋め込まれた、JSFuckという手法で難読化されたJavaScriptが、PDFを開いた瞬間に自動でトリガーされます。base64でエンコードされた大量のコードをデコードし、500ミリ秒の遅延(サンドボックス回避のため)の後に実行に移ります。

 

フェーズ2:フィンガープリンティング(標的の調査)

攻撃コードはAdobe ReaderのAPIを悪用し、感染端末の以下の情報を収集します。

  • OSの正確なバージョン(ntdll.dllのバイナリ解析による取得)
  • Adobe Readerのバージョン
  • 言語設定・プラットフォーム情報
  • インストールされているアンチウイルスソフト
  • PDFファイルのローカルパス

これらの情報はすべて、RSS.addFeed()APIを経由して攻撃者が管理するC2サーバー(Command & Controlサーバー)に送信されます。送信時のUser-Agentは「Mozilla/3.0 (compatible; Adobe Synchronizer 23.8.20533)」というAdobeの正規プロセスに偽装されており、通常のネットワーク監視をすり抜けるよう設計されています。

 

フェーズ3:後続攻撃(条件付き)
C2サーバーは収集した情報を元に標的を選別します。攻撃者の条件を満たした端末に対してのみ、AES-CTR暗号化+zlib圧縮された追加のJavaScriptペイロードを配信します。この後続ペイロードは、遠隔コード実行(RCE)やサンドボックス脱出(SBX)にまで発展する可能性があります。
一方、サンドボックス環境に対しては //(空のJSコメント)を返すのみで、解析を回避します。

Haifei Li氏の自前サーバーを使った検証実験では、C2から返されたJavaScriptがAdobe Reader上で実際に実行され、system32ディレクトリ内のPNGファイルを読み取って外部サーバーに送信することが確認されています。後続のRCEがなくとも、フェーズ2と3だけでファイル窃取が完結することが実証されました。

 

【2026年】PDFを開くだけで感染?Adobe Readerのゼロデイ攻撃(CVE-2026-34621)の全貌

 

3. 第2の亜種も発見:攻撃者はバージョンアップを続けていた


2026年4月8日、セキュリティ研究者Greg Lesnewich氏(@greglesnewich)が新たな亜種を発見しました。

研究者N3mes1s氏がGitHubに公開した詳細なフォレンジックレポートによると、v1(プロトタイプ)とv2(本番)の2バージョンを比較した結果、攻撃者が以下の継続的な改善を実施していたことが明らかになっています。

  • コードの難読化をさらに強化
  • 対象OSの絞り込み(Windows 7サポートを削除)
  • C2サーバーのインフラを定期的にローテーション

さらに、C2サーバーのログにAdobe Reader v25.x向けと思われる /s12 エンドポイントが存在することから、v3の開発が進行中である可能性が指摘されています。

 

4. 標的は誰か?ロシア語・石油ガス産業がキーワード


研究者Gi7w0rm氏の分析により、攻撃に使われたデコイPDFはロシア語で書かれており、内容はロシアの石油・ガス産業に関する時事問題に言及していたことが判明しています。


N3mes1s氏のフォレンジック分析では、2種類のサンプルが特定されています。

 

サンプル デコイ文書の内容 推定標的
Sample 1(54077a5b) ガス供給障害対応手順、作業員安全リスク、地方自治体との協力・市民通知(ロシア語)
エネルギー企業・重要インフラ運用者
Sample 2(65dca34b) モスクワ住所入りの組織間合意書・契約書(ロシア語)
ロシア語話者の政府機関・民間組織



PDFのメタデータはいずれも/Lang (en-US)と設定されており、作成ツールはPythonライブラリのPyMuPDF。タイトルは「Blank Page」と意図的に匿名化されていました。N3mes1s氏はこの攻撃を「国家関与またはAPT(持続的標的型攻撃)グループによる高精度スパイ活動」と評しています。

 

5. CVE-2026-34621とは?脆弱性の正式識別番号


CVE-2026-34621は、今回発覚したAdobe ReaderのJavaScriptエンジンに存在するゼロデイ脆弱性に対して付与された正式な識別番号です。CVE(Common Vulnerabilities and Exposures)は、脆弱性を一意に識別・追跡するための国際的な標準体系です。


この脆弱性は最新バージョンを含む全バージョンのAdobe Readerに対して有効であることが確認されており、Adobeへの通知は実施済みです。記事執筆時点(2026年4月)において公式の修正パッチはリリースされていませんでしたが、その後Adobeは緊急修正を公開しています。パッチ未適用の方は速やかに最新版へのアップデートが必要です。

 

 

6. IOC(侵害指標)一覧:社内監視に使えるデータ


以下のIOCをファイアウォール・EDR・SIEMに登録することで、このゼロデイ攻撃の検知・ブロックが可能です。

 

種別 備考
C2 IPアドレス 169.40.2.68:45191
v1サンプル(ラトビア、VEESP)
C2 IPアドレス 188.214.34.20:34123
v2サンプル(キプロス、EDIS GmbH)
ドメイン ado-read-parser.com/zx.ado-read-parser.com
2025年2月6日登録、VT検知0/94
User-Agent Mozilla/3.0 (compatible; Adobe Synchronizer 23.8.20533)
Adobeプロセスに偽装
SHA-256(v1) 54077a5b15638e354fa02318623775b7a1cc0e8c21e59bcbab333035369e377f
Invoice540.pdf(VT 6/77)
SHA-256(v2) 65dca34b04416f9a113f09718cbe51e11fd58e7287b7863e37f393ed4d25dde7
EXPMONで検出(VT 5/64)
レジストリキー HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Adobe Reader Synchronizer
永続化メカニズム
キャンペーンID 422974(v1)/319988(v2)
C2 URLパラメータ &od= に含まれる

 

7. 今すぐできる対策:パッチが出るまでにやること


ネットワーク監視


Acrobat.exeおよびAcroRd32.exeからの外部通信のうち、User-Agentに「Adobe Synchronizer」を含むHTTPリクエストを、Adobe公式サーバー以外への送信として検知・ブロックする設定が最も効果的です。URLパラメータに&od=422974または&od=319988を含むリクエストもアラート対象に設定してください。


エンドポイント保護


Adobeプロセスからntdll.dllbootsvc.dllへの異常なファイルアクセスを検知するルールを追加してください。また、AdobeCollabSync.exeが外部ネットワーク接続を行う挙動をアラートとして設定することを推奨します。


ユーザー教育・運用対策

  • 送信者不明・心当たりのないPDFを開かない(ファイル名が請求書・契約書を装っている場合は特に要注意)
  • 業務端末でAdobe ReaderのJavaScript実行を無効化する(環境依存)
  • 上記IOCのIPアドレスとドメインをファイアウォール・プロキシでブロックする
  • Adobe公式のセキュリティアドバイザリを継続的に確認し、パッチ公開後は即時適用する


8. ネットの反応:セキュリティ研究者たちの声


今回のゼロデイ攻撃の発覚を受け、セキュリティコミュニティでは様々な声が上がっています。

 

セキュリティコミュニティ全体では「4ヶ月以上も検知されなかった」という点に驚きの声が多く、「標準的なEDRだけでは対処できない」という危機感が共有されています。また、APTグループによる関与を示す証拠(ロシア語のデコイ文書、国家機密に関連するテーマ)についても、活発な議論が続いています。

 

9. よくある質問(FAQ)


Q. このAdobe Readerのゼロデイ脆弱性は、ファイルを開くだけで感染しますか?


A. はい。このエクスプロイトはPDFを開いた瞬間に自動的に実行されるよう設計されており、ユーザーがリンクをクリックしたり、マクロの実行を許可したりといった追加の操作は一切不要です。そのため、極めて危険性が高い状態です。

 

Q. 一般的なアンチウイルスソフトで防げますか?


A. 現時点では防ぐのが非常に困難です。VirusTotalでの初期検知率は5/64と極めて低く、JSFuck等の高度な難読化とサンドボックス回避機能が組み込まれているため、標準的なアンチウイルス製品では無害なファイルとして処理される可能性が高いです。

 

Q. CVE-2026-34621の修正パッチはリリースされていますか?


A. 脆弱性発覚後、Adobeはゼロデイ脆弱性(CVE-2026-34621)の緊急修正を公開しています。Adobe Readerをご利用の方は、速やかに最新バージョンへのアップデートを実施してください。パッチ適用前の暫定対策として、本記事のIOCをファイアウォールやEDRに登録し、不審なPDFの取り扱いに関するユーザー教育を実施することを推奨します。

 

Q. ゼロデイ攻撃の被害を受けたかどうか、どうすれば確認できますか?


A. 社内ネットワークのログを確認し、Acrobat.exeAcroRd32.exeから上記IOCのIPアドレス(169.40.2.68、188.214.34.20)やドメイン(ado-read-parser.com)への通信記録がないかを調査してください。また、レジストリキーHKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Adobe Reader Synchronizer の存在も確認ポイントです。

 

Q.「ゼロデイ攻撃」という言葉は、Netflixドラマ「ゼロデイ」と関係がありますか?


A. 名称は同じ「ゼロデイ」ですが、関係はありません。Netflixドラマ「ゼロデイ」はサイバー攻撃をテーマにした政治スリラー作品です。一方、本記事で解説している「ゼロデイ攻撃」は実際のサイバーセキュリティ用語であり、Adobe ReaderのCVE-2026-34621は現実に発生した攻撃事例です。

 

10. 参考・出典

 

  • Haifei Li(EXPMON):EXPMON detected sophisticated zero-day fingerprinting attack targeting Adobe Reader users(2026年4月7日)
  • Greg Lesnewich:Adobe Exploit PDF Traffic(GitHub Gist)(2026年4月8日)
  • N3mes1s:Adobe Reader Zero-Day PDF Exploit – Full Forensic Analysis(GitHub Gist)(2026年4月8日)
  • SecurityWeek:Adobe Reader Zero-Day Exploited for Months: Researcher
  • The Register:Old Adobe Reader zero-day uses PDFs to size up targets
  • Security Affairs:Malicious PDF reveals active Adobe Reader zero-day in the wild
  • The Hacker News:Adobe Reader Zero-Day Exploited via Malicious PDFs Since December 2025

 

 

 

🔥あなたにおすすめする他の面白い記事

 

【2026年】ゼパの急逝は事実?発表内容・死因非公表・SNSの追悼を整理

 

【2026年】お幸せに、婚約者様。はパクリ?類似問題と連載終了を整理

    

【2026年】おにちゃとは何?ヒカキンの麦茶「ONICHA」はいつ発売でいくら?

 

【2026年】柏原崇は2026年現在どうしている?内田有紀との再婚・過去・代表作をまとめて整理

 

【2026年】中野信子とはどんな人物?年齢・夫・家族・整形疑惑・若い頃まで徹底解説!

 

【2026年】市川團十郎、24組の芸人を完封──「笑わせたら1000万円」で見せた歌舞伎俳優の底力とは? 

 

0
0
コメント 2
  • プロフィール画像
    wlChinchilla395
    어도비에 대한 기사인가봐요
어떤 내용인지는 잘 모르겠어요 ㅜ
  • プロフィール画像
    jaX-ray Tetra157
    해킹이라니 무섭네요 조심해야겠어요