セキュリティセキュリティ
2026年4月 セキュリティ情報 Adobe Acrobat および Reader の脆弱性 (CVE-2026-34621) など
目次
ご挨拶
インフラ業務と並行しつつ「セキュリティの町医者」を目指している三浦です。
4月になりました。本年度も宜しくお願いいたします。
2026年4月に収集した脆弱性/インシデント情報から注目いたしました各種情報を掲載いたします。
セキュリティ対策や推進に少しでもご活用いただければ幸いです。
注目した脆弱性( Adobe Acrobat および Reader の脆弱性 [CVE-2026-34621])
情報公開日:2026/4/12(現地時間)
| 一次情報元(引用元) |
"Security update available for Adobe Acrobat Reader | APSB26-43"Security update available for Adobe Acrobat Reader | APSB26-43 |
| その他、情報ソース |
"IPA" Adobe Acrobat および Reader の脆弱性対策について(2026年4月) |
| CVE番号及び深刻度 |
CVE 番号:CVE-2026-34621 深刻度:Critical (CVSSスコア 8.6) CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H |
| 脆弱性内容 |
Adobe 社は自社製品「Adobe Acrobat」「Adobe Acrobat Reader」にて悪用が確認されている任意コード実行の脆弱性「CVE-2026-34621」を公開した。 攻撃手口は、ターゲットを騙し細工したPDFファイルを開かせる形が想定される。攻撃が成立すると、任意コードが実行される恐れがある。 |
| 想定される影響 | 悪意のあるコードが実行され、当該製品の乗っ取り、DoS、情報漏えいなど不特定多数の影響を受ける可能性がある。 |
| 影響を受ける製品 |
Acrobat DC(Continuous) 26.001.21367 およびそれ以前のバージョン (Windows) 26.001.21367 およびそれ以前のバージョン (macOS) Acrobat Reader DC(Continuous) 26.001.21367 およびそれ以前のバージョン (Windows) 26.001.21367 およびそれ以前のバージョン (macOS) Acrobat 2024(Classic 2024) 24.001.30356 およびそれ以前のバージョン (Windows) 24.001.30356 およびそれ以前のバージョン (macOS) |
| 解決策 | Google Chrome 最新版にアップデートを行う。 |
| コメント |
・同製品は国内では広くPDF用アプリケーションとして利用されており、昨今の業務ではPDFファイルを閲覧することが多い状態である。左記状況を鑑み、同製品については最新状態に保つことが重要となる。 ・不用意に信用出来ないPDFファイルは開かないよう社内ルール(例:PDFファイルの送付元に確認を取る。PDFファイルを開く前にウイルススキャンを行うなど)を定め、遵守することも有効である。 |
その他、注目した脆弱性/ソフトウェアUpdate情報
| 日付 | ソフトウエア | 情報/コメント |
| 2026/4/1 | Internet Systems Consortium BIND (以降、ISC BINDと略称) | ISC は同組織からリリースしているISC BIND 9.20.22、9.18.48をリリース。
"BIND 9.20.22 - Changelog" https://ftp.isc.org/isc/bind9/9.20.22/doc/arm/html/changelog.html "BIND 9.18.48 - Changelog" https://ftp.isc.org/isc/bind9/9.18.48/doc/arm/html/changelog.html |
| 2026/4/4 2026/4/6 |
Fortinet FortiClient EMS | Fortinet 社及びCISAは、Fortinet FortiClient EMS (FortiClient の管理サーバ) のAPI認証および認可のバイパス脆弱性(CVE-2026-35616)が悪用されていることを公表。
"API authentication and authorization bypass" https://fortiguard.fortinet.com/psirt/FG-IR-26-099 "CISA Adds One Known Exploited Vulnerability to Catalog (Release Date : April 06, 2026)" https://www.cisa.gov/news-events/alerts/2026/04/06/cisa-adds-one-known-exploited-vulnerability-catalog |
| 2026/4/7 | Google Chrome | Google 社は、デスクトップ向け安定版、Android 版のGoogle Chrome のアップデートを公開。
"Stable Channel Update for Desktop (Tuesday, April 7, 2026)" https://chromereleases.googleblog.com/2026/04/stable-channel-update-for-desktop.html "Chrome for Android Update (Tuesday, April 7, 2026)" https://chromereleases.googleblog.com/2026/04/chrome-for-android-update_023244500.html |
| 2026/4/7 | Mozilla Thunderbird /Firefox /Firefox ESR | Mozilla 社はThunderbird /Firefox /Firefox ESR のセキュリティアップデートを公開。悪用が行えた可能性がある脆弱性についても修正されている。
"Mozilla Foundation Security Advisory 2026-29 Security Vulnerabilities fixed in Thunderbird 140.9.1" https://www.mozilla.org/en-US/security/advisories/mfsa2026-29/ "Mozilla Foundation Security Advisory 2026-28 Security Vulnerabilities fixed in Thunderbird 149.0.2" https://www.mozilla.org/en-US/security/advisories/mfsa2026-28/ "Mozilla Foundation Security Advisory 2026-25 Security Vulnerabilities fixed in Firefox 149.0.2" https://www.mozilla.org/en-US/security/advisories/mfsa2026-25/ "Mozilla Foundation Security Advisory 2026-27 Security Vulnerabilities fixed in Firefox ESR 140.9.1" https://www.mozilla.org/en-US/security/advisories/mfsa2026-27/ "Mozilla Foundation Security Advisory 2026-26 Security Vulnerabilities fixed in Firefox ESR 115.34.1" https://www.mozilla.org/en-US/security/advisories/mfsa2026-26/ |
| 2026/4/8 | Movable Type | シックス・アパート株式会社は同社製品であるMovable Type に存在する複数の脆弱性を修正。
"[重要] Movable Type 9.1.1 / 9.0.7 / 8.8.3 / 8.0.10、Movable Type Premium 9.1.1 / 9.0.7 / 2.15 の提供を開始(セキュリティアップデート)" https://www.sixapart.jp/movabletype/news/2026/04/08-1100.html |
| 2026/4/9 | PHPの複数バージョン | PHPの複数バージョン「8.4.20」「8.5.5」をリリース。
"ChangeLog - Version 8.4.19" https://www.php.net/ChangeLog-8.php#8.4.20 "ChangeLog - Version 8.5.5" https://www.php.net/ChangeLog-8.php#8.5.5 |
| 2026/4/14/td> | Adobe 社複数製品 | Adobe 社の複数製品のアップデートを公開。各製品の脆弱性が修正されている。
"Latest Product Security Updates" https://helpx.adobe.com/security.html |
| 2026/4/14 | Microsoft 社複数製品 | Microsoft社は、複数のソフトウェアに対する月例セキュリティ更新プログラムを公開。情報公開されていた脆弱性2件、第三者が情報公開した脆弱性1件も修正されている。
"2026 年 4 月のセキュリティ更新プログラム" https://msrc.microsoft.com/update-guide/releaseNote/2026-Apr "2026 年 4 月のセキュリティ更新プログラム (月例)" https://www.microsoft.com/en-us/msrc/blog/2026/04/202604-security-update/ 悪用確認済みの脆弱性 "Microsoft SharePoint Server のなりすましの脆弱性 - CVE-2026-32201" https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-32201 "Chromium: CVE-2026-5281 Dawn における解放後使用 - CVE-2026-5281" https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-5281 情報公開されていた脆弱性 "Microsoft Defender の特権の昇格の脆弱性 - CVE-2026-33825" https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-33825 |
| 2026/4/14 2026/4/15 |
Google Chrome | Google 社は、デスクトップ向け安定版(拡張安定化版含む)、Android 版、iOS 版のGoogle Chrome のアップデートを公開。
"Stable Channel Update for Desktop (Wednesday, April 15, 2026)" https://chromereleases.googleblog.com/2026/04/stable-channel-update-for-desktop_15.html "Extended Stable Updates for Desktop (Wednesday, April 15, 2026)" https://chromereleases.googleblog.com/2026/04/extended-stable-updates-for-desktop_15.html "Chrome for Android Update (Wednesday, April 15, 2026)" https://chromereleases.googleblog.com/2026/04/chrome-for-android-update_15.html "Chrome Stable for iOS Update (Tuesday, April 14, 2026)" https://chromereleases.googleblog.com/2026/04/chrome-stable-for-ios-update_0274709399.html |
| 2026/4/21 | Oracle 社複数製品 | Oracle 社は同社複数製品のOracle Critical Patch Update Advisory を公開。各製品の複数脆弱性が修正されている。
"Oracle Critical Patch Update Advisory - April 2026" https://www.oracle.com/security-alerts/cpuapr2026.html |
| 2026/4/24 | Cisco Secure Firewall ASAおよびCisco Secure FTD | IPAはCisco Secure Firewall ASAおよびCisco Secure FTD の脆弱性 (CVE-2025-20333等) を悪用した攻撃が行われていることを公表。なお、同製品製造元は現地時間4/23に本情報を発信している。
"Cisco Secure Firewall ASAおよびCisco Secure FTDの脆弱性について (CVE-2025-20333等)" https://www.ipa.go.jp/security/security-alert/2025/alert20251106.html |
注目したインシデント
| 公表日 | 発生組織/業種 | インシデント内容 | 情報/コメント |
| 2026/4/2 | 自治体 | 誤送信によるメールアドレス漏えい | 今後は外部の複数人にメールを送る際には、複数の職員で内容を確認する運用を徹底するとコメント。 |
| 2026/4/2 | 金融 | 不正アクセスによる個人情報漏えいの可能性 | 情報共有用システムのテスト環境に対する不正アクセス。外部のセキュリティ会社から、情報漏えいの可能性について連絡を受け発覚。 |
| 2026/4/3 | 総合ITサービス | 同社ファイルサーバに対する不正アクセス | 詳細については公表時は非公開。なお、その後、顧客である複数の地方自治体が情報漏えいの可能性についてアナウンスしている。 |
| 2026/4/3 | 旅客業 | 誤送信による個人情報ファイル漏えい | 対策として「個人データの送信に関して、社外と連絡可能なメールツール(Outlook等)の利用を避け、社内限定ツール(Teams等)へ運用を限定する」とコメントしている。 |
| 2026/4/6 | 医療関連団体 | ランサムウェア攻撃による個人情報漏えい | 外部から侵害された点、個人情報が不正取得されたという情報のみ公表。それ以外の技術的な情報は非公開となっている。 |
| 2026/4/10 続報 | 情報・通信業/金融業 | 不正アクセスへの初動対応によるシステム障害 | 不正アクセスの原因は同社が利用していたオープンソースソフトウェアに混入された悪意あるプログラムを通じた不正アクセス。その対応により、Web管理画面、モバイルアプリ、SlackやMicrosoft Teamsへの通知、会計ソフトとの連携などに障害が発生。 |
| 2026/4/10 | 自治体 | 誤送信によるメールアドレス漏えい | 担当者が業務上の理由から外部一斉メールを送信する際、宛先を「TO」欄に設定したまま送信したことが原因。 |
| 2026/4/13 | 製造業 | ランサムウェア被害による決算発表延期 | ランサム攻撃により、基幹システムが停止したためとコメントしている。 |
| 2026/4/14 | 報道 | 不正ログイン | 同社ウェブサイトで第三者による不正なログイン試行が確認されたもの。なお、同社はシステムにおける侵害や、同社経由のパスワード流出を否定している。 |
