PDFは、仕事でも私生活でも日常的に開くファイルです。 請求書、契約書、申請書、マニュアル、案内文書など、Adobe Acrobat ReaderでPDFを開く機会は非常に多いと思います。
そのため、 「PDFを開いただけで危険な可能性がある」 と聞くと、不安になる人も多いはずです。
2026年4月、AdobeはAcrobat ReaderおよびAcrobat向けに重大な脆弱性の修正を公開しました。Adobe公式によると、2026年4月11日公開の APSB26-43 は critical vulnerability に対する更新で、悪用に成功すると 任意コード実行 につながる可能性があります。さらにAdobeは、 CVE-2026-34621が実際に悪用されていることを把握している と明記しています。
この記事では、 2026年4月に公表されたAdobe Acrobat Readerの重大な脆弱性の内容、なぜ注意が必要なのか、無料版Reader利用者も対象なのか、今すぐ何をすればよいのか を、実務目線でわかりやすく整理します。
- この記事でわかること
- 結論:危険なのはPDFそのものより、未更新のAdobe Acrobat Readerを使い続けること
- Situation:PDFは仕事でも私生活でも日常的に開くファイル
- Complication:無料のAdobe Acrobat Readerにも重大な脆弱性修正が出ている
- Question:PDFを開くだけで危険なのか?何をすればいいのか?
- Answer:まずはReaderの更新状況を確認し、未更新ならアップデートする
- 2026年4月に公表されたAdobe Readerの重大な脆弱性とは
- なぜ注意が必要なのか
- 今すぐ確認したい対処法
- 対処法1:Adobe Acrobat Readerを最新版に更新する
- 対処法2:バージョン番号を確認する
- 対処法3:怪しいPDFを安易に開かない
- 対処法4:会社PCは情シスの配信状況も確認する
- やってはいけないこと
- 法人PC・情シス担当者向けの注意点
- 現場判断用チェック表
- まとめ:PDFが危険というより、未更新のReaderが危険
- 参考情報
この記事でわかること
- 2026年4月に公表されたAdobe Acrobat Readerの重大な脆弱性の概要
- なぜ「PDFを開くだけで危険な可能性がある」と言われるのか
- 無料版のAdobe Acrobat Reader利用者も対象なのか
- 今すぐ確認したい対処法
- 会社PC・情シス担当者が注意したいポイント
結論:危険なのはPDFそのものより、未更新のAdobe Acrobat Readerを使い続けること
先に結論から言うと、 今回危険なのは「PDFそのもの」ではなく、重大な脆弱性が修正されていないAdobe Acrobat Readerを使い続けること です。
Adobeの2026年4月11日付セキュリティ情報 APSB26-43 では、Windows版およびmacOS版のAdobe Acrobat ReaderとAcrobatに対して、優先度1の更新が公開されました。Adobeはこの更新について、 critical vulnerability に対処するものであり、悪用に成功すると 任意コード実行 につながる可能性があると説明しています。さらに、 CVE-2026-34621の実際の悪用を把握している としています。
また、2026年4月14日公開の APSB26-44 でも、Adobe Acrobat ReaderとAcrobat向けに、 任意コード実行 および 任意ファイルシステム読み取り につながる可能性がある脆弱性修正が案内されています。こちらについては、Adobeは公表時点で 実際の悪用は把握していない としています。
つまり、 「PDFを開くだけで絶対に危険」 と単純化するより、 未更新のReaderで細工されたPDFを開くことが大きなリスク と理解するのが正確です。IPAも2026年4月の注意喚起で、これらの脆弱性が悪用された場合、アプリケーションの異常終了やPCの制御につながるおそれがあるため、早急な更新を呼びかけています。
Situation:PDFは仕事でも私生活でも日常的に開くファイル
PDFは、業務でも日常でも頻繁に利用されます。
- 見積書や請求書
- 契約書や申請書
- 取扱説明書やマニュアル
- 学校や自治体の案内文書
- メール添付の各種資料
そのため、Adobe Acrobat Readerは「とりあえず入っている無料PDF閲覧ソフト」として使われがちです。 しかし、無料版であってもセキュリティリスクの対象外ではありません。Adobeのセキュリティ情報では、今回の更新対象に Adobe Acrobat Reader が明記されています。
Complication:無料のAdobe Acrobat Readerにも重大な脆弱性修正が出ている
今回の厄介な点は、 無料版Reader利用者も対象 であることです。
「Acrobat Proの話では?」 「有料版だけの問題では?」 と思う人もいますが、Adobeのセキュリティ情報では、Windows版・macOS版の Adobe Acrobat Reader と Adobe Acrobat の両方が対象です。
さらに、JPCERT/CCも APSB26-43 について注意喚起を出しており、Adobe AcrobatおよびReaderの脆弱性が悪用されると、任意コード実行の可能性があると案内しています。IPAも同様に、被害拡大のおそれがあるため至急アップデートを適用するよう呼びかけています。
Question:PDFを開くだけで危険なのか?何をすればいいのか?
ここで大事なのは、 「PDFを開く行為」そのものを必要以上に怖がるのではなく、Readerの更新状態を確認すること です。
Adobeの2026年3月31日公開の APSB26-26 では、Acrobat ReaderおよびAcrobat向けに、任意コード実行や権限昇格につながる可能性がある脆弱性修正が公開されていました。この時点では、Adobeは 実際の悪用は把握していない としていました。
しかし、その後の2026年4月11日公開 APSB26-43 では、同じくAcrobat Reader向けのcritical vulnerabilityについて、 実際の悪用を把握している とAdobeが明記しました。時系列で見ると、2026年春のReader/Acrobatは継続して重要な更新が出ており、未更新状態を放置するのが危険だと分かります。
Answer:まずはReaderの更新状況を確認し、未更新ならアップデートする
今回の対処法は明確です。
- Adobe Acrobat Readerのバージョンを確認する
- 最新版に更新する
- 更新後に再起動して反映を確認する
- 会社PCでは情シスの配信状況も確認する
- 怪しいPDFを安易に開かない
Adobeのリリースノートでは、 26.001.21411 が2026年4月10日のPlanned updateとして案内されています。また、JPCERT/CCの注意喚起でも、Windows版・macOS版の Adobe Acrobat Reader DC Continuous 26.001.21411 以前 が対象として整理されています。
つまり、少なくとも 対象バージョンより新しい状態に更新されているか を確認することが、まず最優先です。
2026年4月に公表されたAdobe Readerの重大な脆弱性とは
2026年4月11日:APSB26-43
Adobeは2026年4月11日、 APSB26-43 を公開しました。 この更新は、Adobe Acrobat ReaderとAcrobatのWindows版・macOS版を対象に、 critical vulnerability へ対応するものです。悪用に成功すると、 任意コード実行 につながる可能性があります。Adobeは CVE-2026-34621が実際に悪用されていることを把握している と明記しています。
2026年4月14日:APSB26-44
続いてAdobeは2026年4月14日、 APSB26-44 を公開しました。 こちらは、Adobe Acrobat ReaderとAcrobat向けの critical and important vulnerabilities への対応で、悪用されると 任意コード実行 や 任意ファイルシステム読み取り につながる可能性があります。Adobeは、この更新対象については 実際の悪用は把握していない としています。
2026年3月31日:APSB26-26
その少し前、2026年3月31日には APSB26-26 も公開されていました。 この時点でも、Adobe Acrobat ReaderとAcrobatに対して、 任意コード実行 や 権限昇格 につながる可能性がある脆弱性修正が出ており、Adobeは 実際の悪用は把握していない としていました。
この流れを見ると、2026年春はReader/Acrobatのセキュリティ更新が続いており、 「しばらく更新していないReader」を使い続けるリスクが高い時期 だと分かります。
なぜ注意が必要なのか
理由1:任意コード実行につながる可能性がある
Adobeの APSB26-43 では、成功した悪用が arbitrary code execution につながる可能性があると説明されています。つまり、細工されたPDFを開くことで、単なる閲覧トラブルでは済まない可能性があります。
理由2:一部は実際に悪用が確認されている
今回特に重要なのは、Adobeが CVE-2026-34621の実際の悪用を把握している と明記していることです。IPAもこの点を引用し、被害拡大のおそれがあるため早急な更新を呼びかけています。
理由3:無料版Reader利用者も対象
対象は有料版Acrobatだけではありません。 Adobe Acrobat Readerも対象なので、無料だから安全ということはありません。
今すぐ確認したい対処法
対処法1:Adobe Acrobat Readerを最新版に更新する
最優先は更新です。 Adobeの修正版へ更新していない状態を放置しないことが重要です。Adobeのリリースノートでは、2026年4月10日の更新として 26.001.21411 が案内されています。
手順
- Adobe Acrobat Readerを開く
- ヘルプ をクリックする
- アップデートの有無をチェック を選択する
- 更新があれば適用する
- 更新後にReaderを再起動する
対処法2:バージョン番号を確認する
更新したつもりでも、実際には反映されていないことがあります。 Readerのバージョン番号を確認しておくと安心です。
手順
- Adobe Acrobat Readerを開く
- ヘルプ をクリックする
- Adobe Acrobat Readerについて を開く
- 表示されたバージョン番号を確認する
2026年4月時点では、少なくとも 26.001.21411 がセキュリティ更新対応版として案内されています。対象製品・対象バージョンはAdobeやJPCERT/CCの情報で確認できます。
対処法3:怪しいPDFを安易に開かない
更新が最優先ですが、それでも 出所不明のPDF は安易に開かないことが基本です。
- 差出人が不明なメール添付PDF
- 急に送られてきた請求書PDF
- 本文が不自然なメールの添付資料
- チャットやSNSで送られた正体不明のPDF
AdobeとIPAの注意喚起から分かるとおり、悪意あるコンテンツをユーザーが開くことで被害につながるおそれがあります。更新していても、不審なファイルを開かないという基本対策は重要です。
対処法4:会社PCは情シスの配信状況も確認する
会社PCでは、Adobe Readerの更新が自動ではなく、情シスや管理ツール経由で配信されていることがあります。
そのため、利用者が勝手に更新できない場合は、 社内でReaderの更新が配信済みか を確認したほうが安全です。
特に、社内でPDFを頻繁に扱う部署、経理、人事、総務、営業、法務などは優先的に更新状況を確認したいところです。IPAも早急な更新適用を呼びかけています。
やってはいけないこと
- 無料版Readerだから対象外だと思い込む
- PDFそのものが危険だとだけ理解して更新を後回しにする
- 「あとで更新しよう」と未更新のまま使い続ける
- 不審なPDFをとりあえず開いて確認する
- 会社PCで自己判断でセキュリティ設定を緩める
今回のポイントは、 「Readerを最新化すること」 です。PDF閲覧ソフトを未更新のまま使い続けることが、最も避けたい状態です。
法人PC・情シス担当者向けの注意点
1. ReaderとAcrobatの両方を確認する
Adobeの対象は、Adobe Acrobat ReaderだけでなくAcrobatも含みます。 そのため、社内でReader利用者だけ確認すればよいわけではありません。対象製品全体の更新状態を確認する必要があります。
2. 継続版・Classic版の混在に注意する
JPCERT/CCの注意喚起では、Continuous版だけでなく、Adobe Acrobat 2024 Classicも対象製品として整理されています。 社内配布形態によって対象バージョンが違うため、配布体系ごとに確認したほうが安全です。
3. 更新配信漏れを防ぐ
Adobeのリリースノートにある版数と、端末実機の版数が一致しているかを確認することが重要です。 「更新済みのつもり」でも、端末再起動待ちや配信失敗で古い版が残っていることがあります。
4. 利用者への周知文を用意する
一般利用者向けには、次のような案内が分かりやすいです。
社内向け案内例
Adobe Acrobat Reader / Acrobatに重大な脆弱性修正が公開されています。 一部は実際の悪用も確認されています。PDFそのものが危険というより、未更新のReader/Acrobatを使い続けることがリスクです。対象端末は更新状況を確認し、未更新の場合は至急アップデートしてください。
現場判断用チェック表
| 状態 | まず疑うこと | おすすめ対応 |
|---|---|---|
| 無料のReaderを使っている | 無料版も対象か | 対象なので更新確認 |
| 最近更新していない | 未修正版のままか | バージョン確認と更新 |
| 会社PCで更新できない | 情シス配信待ちか | 配信状況を確認 |
| 不審なPDFが届いた | 細工されたPDFの可能性 | 安易に開かず差出人確認 |
| Readerは使うがProは使わない | Readerだけの話か | Readerも対象なので更新 |
まとめ:PDFが危険というより、未更新のReaderが危険
2026年4月、Adobe Acrobat ReaderとAcrobat向けに重大な脆弱性修正が公開されました。 Adobe公式では、2026年4月11日公開の APSB26-43 で、任意コード実行につながる可能性があるcritical vulnerabilityを修正し、 CVE-2026-34621の実際の悪用を把握している と案内しています。
また、2026年4月14日公開の APSB26-44 でも、Adobe Acrobat ReaderとAcrobat向けに、任意コード実行や任意ファイルシステム読み取りにつながる可能性がある脆弱性修正が出ています。無料版Reader利用者も対象です。
そのため、 PDFを開くこと自体を過剰に怖がるより、Adobe Acrobat Readerを未更新のまま使い続けないこと が重要です。まずはReaderのバージョンを確認し、未更新ならアップデートする。会社PCなら情シスの配信状況も確認する。不審なPDFは安易に開かない。これが現実的な対策です。
参考情報
- Adobe Security Bulletin:APSB26-43
- Adobe Security Bulletin:APSB26-44
- Adobe Security Bulletin:APSB26-26
- Adobe Release Notes:26.001.21411 Planned update
- JPCERT/CC:Adobe AcrobatおよびReaderの脆弱性に関する注意喚起
- IPA:Adobe AcrobatおよびReaderの脆弱性対策について