Adobe Acrobat/Reader にヒープバッファオーバーフローの脆弱性(CVE-2009-3459)— 細工PDFで任意コード実行のおそれ
PDF閲覧・作成ソフト Adobe Acrobat および Reader に、細工されたPDFファイルを開くとメモリ破壊が起き、遠隔の攻撃者に任意のコードを実行されうる脆弱性(CVE-2009-3459)です。米CISAは実際に悪用が確認されたものとして、2026年5月20日にKEVへ追加しました。
脆弱性の基本情報
- CVE番号CVE-2009-3459
- CVSS基本値8.8 HIGH
- CVSSベクタCVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
- 対象(ベンダー/製品)Adobe Acrobat and Reader
- CWECWE-119
- 悪用状況CISA KEV 掲載(実際の悪用を確認)
- 是正期限2026-06-03(米連邦民生機関・BOD 22-01)
要点
この脆弱性は、PDFを処理する Adobe Acrobat と Reader のメモリ取り扱いに起因します。プログラムが扱うメモリ領域に対し、想定を超えるデータが書き込まれることで内部のデータ構造が壊れ、その結果として攻撃者が用意したコードが動く余地が生まれる、というのがヒープバッファオーバーフローの基本的な性質です。CISAの記録では、細工されたPDFファイルがメモリ破壊を誘発し、遠隔の攻撃者が任意のコードを実行しうるとされています。攻撃が成立するには利用者が当該ファイルを開く操作が必要(CVSS の評価軸では UI:R=利用者の関与が必要)であり、メールの添付やダウンロードした文書など、日常的にPDFを開く場面がそのまま入口になりうる点が特徴です。
PDFは業務でも私的にも極めて頻繁に開かれる文書形式であり、「文書ファイルそのものが攻撃の媒体になる」典型例といえます。NVD公式のCVSS(深刻度を数値化した共通指標)では 8.8(HIGH/CVSS:3.1 AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H)と評価されており、機密性・完全性・可用性のいずれにも高い影響が想定される区分です。元は2009年に公表された古い脆弱性ですが、2026年5月にKEVへ追加された事実は、サポートの切れた旧バージョンを使い続けることが今なお現実的な危険につながりうることを示しています。
この脆弱性に対する基本的な向き合い方は、まず手元のAcrobat/Readerのバージョンを確認し、ベンダーであるAdobeの案内に従って対応する版へ更新することです。米CISAは連邦機関に対し、拘束的運用指令 BOD 22-01 に基づきベンダー指示に沿った緩和を求め、緩和が適用できない場合は当該製品の使用を停止するよう示しています。是正期限は2026年6月3日と設定されています。
なぜ重要か
PDFは業務の標準的な文書形式であり、添付ファイルや共有文書を通じて広範な端末が攻撃対象になりうる点で影響が大きい脆弱性です。任意コード実行が成立すれば情報の漏えい・改ざんや業務停止につながる可能性があり、米CISAのKEV追加(是正期限2026年6月3日)は連邦機関に対応を義務づけています。利用組織にとっては、Adobe Acrobat/Readerのバージョン把握と最新版への更新、出所不明PDFの取り扱いルールの整備が現実的な論点となります。
よくある質問(FAQ)
どうすれば影響を受けるか確認できますか。
PDFを開かなければ問題ないのですか。
出典(一次情報)
本記事は下記の米国公式データに基づく独自整理です。正確・最新の内容、適用可否は必ず公式・ベンダーでご確認ください。
- CISA KEV Catalog(悪用確認済み一覧)
- NVD(CVE詳細・CVSS)
- ベンダー/参考アドバイザリ
- ベンダー/参考アドバイザリ
- This product uses data from the NVD API but is not endorsed or certified by the NVD. KEV データは CC0(パブリックドメイン)です。