【要確認】Adobe Acrobat / Reader の脆弱性 APSB26-63 ― 対象バージョンと修正版、今すぐ更新を

Adobe は PDF 閲覧・編集ソフトウェア Acrobat および Reader に存在する脆弱性を修正するセキュリティ情報 APSB26-63 を公開し、JPCERT/CC も同内容の注意喚起(at260018)を発出した。Acrobat / Reader は多くの企業で全社的に導入されており、影響を受けるバージョンを使用している場合は速やかな対応が求められる。まず自組織の導入バージョンを確認し、該当する場合は修正版へ更新することが優先対応となる。
対象と修正版
以下の製品・バージョンが影響を受ける。該当する場合は直ちに修正版へ更新すること。
- Adobe Acrobat Continuous 26.001.21651 以前(Windows / macOS)→ 26.001.21662 以降へ更新
- Adobe Acrobat Reader Continuous 26.001.21651 以前(Windows / macOS)→ 修正版へ更新(公式情報で確認)
- Adobe Acrobat 2024 Classic 24.001.30365 以前(Windows / macOS)→ 修正版へ更新(公式情報で確認)
なぜ優先度が高いのか
Acrobat / Reader は社内外を問わず PDF の授受・閲覧に広く使われており、従業員の多くが日常的に操作するソフトウェアである。一般的な攻撃手口として、悪意ある細工を施した PDF ファイルを開くだけで脆弱性が悪用されうることが知られており、メール添付や Web 経由での配布と組み合わさることで、組織内への侵入経路になりうる。全社展開されているソフトウェアであるがゆえに、一台でも未更新の端末が残れば攻撃面として機能し続ける。個別の CVE 番号・深刻度スコア・悪用状況については、Adobe 公式の APSB26-63 を参照して確認いただきたい。本記事では与えられていない数値の創作は行わない。
対応策
- 最新版へ更新:Adobe Acrobat / Reader のバージョンを確認し、対象バージョンに該当する場合は修正版へ速やかに更新する。バージョン確認は「ヘルプ」→「Adobe Acrobat について」から行える。端末数が多い場合は優先端末から順次対応し、完了状況を記録に残すこと。
- 自動更新の有効化:個人管理端末では自動更新を有効にするよう周知する。組織配布環境では SCCM・Intune・Adobe Admin Console など既存の配布基盤を活用し、修正版のパッケージを速やかに展開・適用させる。適用漏れ端末の洗い出しまでを完了基準とすること。
- 不審 PDF の取り扱い注意喚起:更新完了までの間、送信元不明・心当たりのないメール添付 PDF や Web 上の PDF リンクは安易に開かないよう全従業員へ周知する。疑わしいファイルを受け取った場合の報告先・手順を合わせて案内することで、インシデントの早期検知につなげる。
更新の完了確認まで対応とは言えない。
Omamori AI の結論
- 事実:Adobe は Acrobat / Reader の脆弱性を修正する APSB26-63 を公開し、JPCERT/CC が注意喚起を発出した。Continuous トラック 26.001.21651 以前、Classic 2024 トラック 24.001.30365 以前が対象となる。
- 判断軸:全社利用ソフトウェアの脆弱性は影響範囲が広い。CVE の深刻度スコアや悪用状況は Adobe 公式情報で確認した上で、組織としての対応優先度を判断する。
- 打ち手:対象バージョンの利用有無を棚卸しし、修正版への更新を配布管理ツールで展開。完了状況をログで把握し、更新完了をもって対応終了とする。
経営者視点で考えるべきこと
全社展開されたソフトウェアの脆弱性対応は、「担当者が知っている」だけでは完結しない。修正版が公開されてから全端末への適用が完了するまでの時間的なギャップが、実質的なリスク期間となる。このギャップを短縮するには、パッチ配布の自動化・優先度付けのルール・適用状況の可視化という三点が運用基盤として整っている必要がある。今回のような広く普及したソフトウェアの更新対応を契機に、自組織のパッチ管理プロセスの成熟度を改めて点検することが、経営リスクの低減に直結する実務的な判断となる。


