Contents
APSB26‑63 の概要と影響範囲
2026 年 6 月に情報処理推進機構(IPA)と JPCERT/CC が同時に公表した脆弱性情報 APSB26‑63 は、Acrobat Reader DC に複数のリモートコード実行(RCE)欠陥が存在することを示しています。影響を受けるバージョンは古いビルド全般であり、攻撃者が細工した PDF を閲覧させるだけで任意コードが実行される可能性があります。本節では対象製品とリスク評価のポイントを整理し、対策の優先度を明確にします。
Acrobat Reader DC の 2025.006 未満 および 2026 系列(2026.001~2026.004) が主な対象です。IPA の警報ページでは「2025.007 以前、2026.005 以前」のバージョンが該当すると記載されています【IPA 脆弱性対策 (2026/06)】。
※本脆弱性に割り当てられた CVE 番号は、公開時点で正式に決定していないため、本稿では番号の記載を控えます。
リスク評価のポイント
- 攻撃経路:PDF ファイルを開くだけでコードが実行されるため、メール添付やウェブダウンロードといった一般的な配布手段で広範囲に拡散可能。
- 被害シナリオ:マルウェアのインストール、情報窃取、内部ネットワークへの横展開など、深刻な影響が想定されます。
- 業務影響度:PDF が社内文書・報告書として日常的に使用されている組織では、感染リスクが特に高く、迅速な対策が求められます。
公式パッチの取得と適用手順
本脆弱性は Adobe が 2026/06/10 に公開した更新プログラムで修正されています。ここでは、個人利用者向け・エンタープライズ向けそれぞれに適したダウンロード方法とインストール手順を解説します。
ダウンロード先の確認
Adobe の公式ダウンロードページは以下です。
Adobe Acrobat Reader DC ダウンロード(公式)
企業環境では、Adobe が提供する Enterprise Installer (MSI) を利用すると配布管理が容易になります。
Windows でのバージョン確認手順
- Acrobat Reader を起動し、メニューから 「ヘルプ」 > 「製品情報」 を選択。
- 表示されたダイアログに 「Version: 2026.005」以上 が記載されていれば最新です。
個人利用者向け自動アップデート設定
- メニューの 「編集」 > 「環境設定」 を開く。
- 左ペインで 「更新プログラム」 を選択し、以下のチェックをオンにする。
- 「Adobe Acrobat Reader の更新を自動的にチェック」
- 「利用可能な更新は自動でインストール」
この設定により、将来の脆弱性修正も手動作業なしで適用されます。
エンタープライズ向け配布概要(Intune/SCCM)
| ツール | 主な手順 |
|---|---|
| Microsoft Endpoint Manager (Intune) | 1. Adobe の Enterprise Installer (.msi) を取得。2. .intunewin に変換し、「Apps」 > 「All apps」 > 「+ Add」 → Windows app (Win32) でアップロード。3. 必要情報を入力し、対象デバイスグループへ 必須 配布。 |
| SCCM | 1. SCCM コンソールの 「Software Library」 > 「Application」 から新規アプリケーション作成。2. MSI ファイルを指定し、配布ポイントへパッケージを送信。3. 展開対象コレクションに対して 必須 配布を設定し、業務時間外のメンテナンスウィンドウでインストール実行。 |
エンタープライズ環境への一括展開手順
大規模組織では個別インストールが管理負荷となるため、Intune または SCCM を活用した自動配布が推奨されます。本節ではパッケージ取得から展開完了までのフローを具体的に示します。
手順 1 – Enterprise Installer の取得とカスタマイズ
Adobe のダウンロードページで 「Enterprise Installer (MSI)」 を入手し、必要に応じて以下オプションでサイレントインストール設定を追加します。
|
1 2 |
msiexec /i AcroRead.msi /qn ADDLOCAL=ALL REBOOT=ReallySuppress DISABLE_AUTOMATIC_UPDATE=1 |
手順 2 – Intune への登録と配布設定
| ステップ | 内容 |
|---|---|
| アプリ追加 | 「Microsoft Endpoint Manager」 → 「Apps」 → 「All apps」 → 「+ Add」 → Windows app (Win32) を選択。 |
| パッケージアップロード | 作成した .intunewin ファイルを指定し、アップロード完了まで待機。 |
| 情報入力 | アプリ名「Adobe Acrobat Reader DC 2026.005」、発行元は「Adobe Inc.」と記入。 |
| 要件設定 | OS: Windows 10 1903 以降、空きディスク容量 ≥ 300 MB 等を条件付け。 |
| 割り当て | 「必須」配布で全端末に適用するか、対象グループを段階的に拡大してロールアウト。 |
手順 3 – SCCM での展開(代替シナリオ)
- Application の作成:SCCM コンソール → 「Software Library」 → 「Applications」 → 「Create Application」→ MSI を選択。
- 配布ポイントへの配置:対象の DP にパッケージをコピー。
- 展開設定:コレクションに対し「必須」または「利用可能」オプションで割り当て、実行ウィンドウは深夜帯(例 02:00‑04:00)に設定。
手順 4 – 展開後の確認とログ収集
| 確認項目 | 方法 |
|---|---|
| インストールバージョン | PowerShell Get-ItemProperty "HKLM:\SOFTWARE\Adobe\Acrobat Reader\DC\Installer" の Version を取得。 |
| 正常起動テスト | AcroRd32.exe /s でサイレント起動し、終了コードが 0 か確認。 |
| インストールログ | %ProgramData%\Adobe\Acrobat\Reader\DC\log 配下の setup.log を集中管理ツールへ転送し、エラー有無を分析。 |
暫定的な緩和策(パッチ適用前)
公式パッチが全端末に展開されるまでの間、以下の設定変更で攻撃成功率を大幅に低減できます。すべて管理者権限が必要ですので、テスト環境で影響確認を行ったうえで本番適用してください。
1. JavaScript の無効化
- 操作手順:
編集 > 環境設定 > JavaScript→ 「Acrobat JavaScript を有効にする」のチェックを外す。 - 効果:多くの PDF 攻撃はスクリプト実行を前提としているため、コード実行経路が遮断されます。ただし、フォーム自動入力等の正規機能が利用できなくなる点に留意してください。
2. Protected Mode(サンドボックス)の有効化
- 操作手順:
編集 > 環境設定 > セキュリティ (強化)→ 「起動時に保護モードを有効にする」にチェックし、再起動。 - 効果:PDF のレンダリングプロセスが分離されたサンドボックス内で実行されるため、脆弱性が悪用された場合でもシステム全体への影響が限定的になります。
3. 実行権限制御(AppLocker/ソフトウェア制限ポリシー)
| 方法 | 設定例 |
|---|---|
| AppLocker(Windows) | C:\Program Files\Adobe\Acrobat Reader DC\Reader\AcroRd32.exe の実行許可を「許可済み」リストに限定し、未知のバイナリはブロック。 |
| ファイル属性 | 共有フォルダー上の PDF に対して「読み取り専用」+「実行不可」属性を付与し、スクリプトが自動起動しないようにする。 |
4. ネットワークレベルでの PDF 配布制御
- プロキシ/UTM:
*.adobe.com/*pdf*や外部サイトからの PDF ダウンロードを監視・ブロックし、社内で配布するファイルはウイルススキャンと署名検証を必須にします。
脆弱性情報の購読と社内フロー構築
脆弱性情報はリアルタイムで変化するため、IPA と JPCERT/CC の公式アラート配信サービスを活用し、社内で自動的に集約・評価できる仕組みを整えることが重要です。
1. IPA 脆弱性情報メールの登録
- URL:https://www.ipa.go.jp/security/vuln/alert.html
- 「脆弱性情報メール」の購読申し込みから、組織単位で日次配信を受け取ります。
2. JPCERT/CC 脆弱性速報メールの登録
- URL:https://www.jpcert.or.jp/mailinglist.html
- 「脆弱性情報(AT)」を選択し、RSS フィードも併用すると社内ポータルへの自動取り込みが容易です。
3. 社内情報共有フロー例
| ステップ | 内容 |
|---|---|
| 受信 | security-alert@corp.example.com にメールを転送(Power Automate で設定)。 |
| 分類・タグ付与 | Outlook ルールで「脆弱性」ラベルを自動付与し、Teams の #security‑alerts チャネルへ投稿。 |
| 評価 | ISMS 担当者が影響範囲をレビューし、必要に応じて緊急パッチ適用手順を作成。 |
| 記録 | ServiceNow 等のインシデント管理ツールに「脆弱性情報」チケットとして保存し、履歴を残す。 |
このプロセスにより、新たな脆弱性が公表された際でも迅速に対応策検討へ移行できます。
パッチ適用後の検証・ロールバック、過去から得た教訓
パッチ導入は完了だけでなく、正しく機能しているかを確認し、万が一問題が発生した際に速やかに復旧できる体制を整えておくことが運用上の必須項目です。
1. 動作確認項目
| 項目 | 確認方法 |
|---|---|
| バージョン表示 | 「ヘルプ > 製品情報」で「2026.005」以上か確認。 |
| PDF 表示テスト | テキスト中心、画像中心、フォーム付きの 3 種類を開き、クラッシュやエラーダイアログが出ないことを確認。 |
| デジタル署名検証 | 「保護 > 署名の検証」から社内で使用している署名付き PDF をチェックし、正常に検証できるか確認。 |
| プラグイン互換性 | Acrobat Pro DC と連携するサードパーティプラグイン(例:PDF/A 変換ツール)が起動・動作することをテスト。 |
2. ロールバック手順(問題発生時)
- 復元ポイント取得:パッチ適用前に Windows のシステム復元ポイントまたは Veeam 等のイメージバックアップを取得。
- 旧版インストーラ保管:Adobe が提供する「Reader DC 2025.006」等の MSI を社内リポジトリに保存。
- アンインストール:
プログラムと機能から現在の Acrobat Reader を削除。 - 再インストール:保管した旧版 MSI を Intune / SCCM 等で配布し、対象端末へ展開。
3. APSB25‑xx 系列から得た教訓とベストプラクティス
| 教訓 | 推奨アクション |
|---|---|
| テスト環境不足 → 本番障害発生 | パッチは必ず OS バージョン・既存プラグイン構成を含むステージング環境で 48 時間以上検証。 |
| 一斉展開によるネットワーク逼迫 → 帯域が飽和 | 展開スケジュールを時間帯別に分割し、ピーク外ウィンドウ(例:深夜)で配信。 |
| ロールバック手順未整備 → 復旧遅延 | ロールバック用インストーラ・復元ポイント作成を標準 SOP に組み込み、実施手順書を随時更新。 |
| 情報共有の遅れ → パッチ適用が後手に回る | IPA/JPCERT のアラート自動転送と Teams 連携でリアルタイム通知体制を構築し、担当者へのエスカレーションを即時化。 |
まとめ
- APSB26‑63 は Acrobat Reader DC の古いビルドに深刻なリモートコード実行欠陥が存在するため、速やかなパッチ適用が必須です。
- 公式パッチは 2026/06/10 に公開されており、Adobe の公式ダウンロードページまたは Enterprise Installer を利用して取得できます。
- エンタープライズ環境では Intune/SCCM を活用した一括配布が管理負荷を大幅に削減し、展開後はバージョン確認・ログ収集で適用状況を検証してください。
- パッチ適用までの暫定策として JavaScript 無効化、Protected Mode 有効化、実行権限制御 を導入し、ネットワーク層でも PDF 配布を監視します。
- IPA と JPCERT/CC のアラート購読・社内自動集約フローを整備すれば、新たな脆弱性情報に即座に対応できる体制が構築できます。
本稿の手順とベストプラクティスを参考に、組織全体で迅速かつ確実な脆弱性対策を実施してください。