【セキュリティニュース】2026年4月12日号|Adobe Readerゼロデイ脆弱性・Movable Type緊急アップデート・都内ランサム被害が過去最多
今週は3本のニュースを取り上げます。Adobe Readerにゼロデイ脆弱性が発見され、PDFファイルを開くだけで情報が窃取される攻撃が2025年12月から確認されています。Movable TypeにはCVSS 9.8の緊急脆弱性が公表され、即時アップデートが必要です。また、警視庁が2025年の都内ランサムウェア被害が68件で過去最多と発表しました。いずれも中小企業に直接影響する内容です。
NEWS 01
セキュリティ研究者 / Adobe | 2026年4月9日公表
Adobe Readerにゼロデイ脆弱性、PDFを開くだけで情報窃取 ― 2025年12月から悪用確認
セキュリティ研究者のHaifei Li氏が、Adobe Acrobat Readerに未修正のゼロデイ脆弱性が存在し、2025年12月から攻撃に悪用されていることを公表しました。この脆弱性を突いた悪意あるPDFファイルを開くと、クリック操作なしで難読化されたJavaScriptが即座に実行され、端末の情報が外部サーバーに送信されます。
攻撃に使われたPDFの検体は2025年11月28日にVirusTotalに初めてアップロードされており、少なくとも4か月以上にわたり悪用されていたことになります。2026年4月9日時点で、AdobeからはCVE番号の付与もパッチの提供も行われていません。Adobeには4月7日頃に報告が行われたとされています。
攻撃で確認されたPDFはロシア語の請求書を装った文書で、エネルギー産業の関係者を狙った標的型攻撃とみられています。ただし、同じ手法が日本国内の攻撃に転用される可能性は十分にあります。
▌中小企業への影響
PDFは請求書・見積書・契約書など業務で日常的にやり取りされるファイル形式であり、従業員が不審なPDFを開いてしまうリスクは高い状況です。Adobe Acrobat / Acrobat Readerを使用しているすべての企業が影響を受けます。現時点でパッチが未提供のため、運用面での対策が求められます。
▌推奨対応
- 送信元が不明または不審なPDFファイルは開かない。取引先からのPDFでも、事前連絡のない添付ファイルは電話で確認してから開く
- Adobe Acrobat / Readerの設定で「JavaScriptを有効にする」をオフにする(編集→環境設定→JavaScript→「Acrobat JavaScriptを使用」のチェックを外す)
- 可能であれば、PDFの閲覧にはブラウザ内蔵のPDFビューア(Chrome・Edge等)を一時的に利用する
- Adobeからのセキュリティアップデート公開を注視し、パッチが出次第すぐに適用する
NEWS 02
IPA / JVN | 2026年4月8日
Movable Typeに深刻な脆弱性(CVSS 9.8)、コードインジェクションとSQLインジェクションの2件
IPAおよびJPCERT/CCは2026年4月8日、コンテンツ管理システム(CMS)「Movable Type」に複数の脆弱性が存在するとして注意喚起(JVN#66473735)を公表しました。開発元のシックス・アパート株式会社も同日にセキュリティアップデートを公開しています。
脆弱性の詳細
| CVE番号 |
種別 |
CVSS v3 |
影響 |
| CVE-2026-25776 |
コードインジェクション |
9.8(緊急) |
任意のPerlコードが実行される |
| CVE-2026-33088 |
SQLインジェクション |
7.3(重要) |
任意のSQLコマンドが実行される |
いずれもリスティングフレームワークの処理に起因する脆弱性で、認証なしでリモートから攻撃が可能です。CVSS 9.8は最高レベルに近い深刻度であり、悪用された場合はWebサイトの改ざんや情報窃取、バックドアの設置に直結します。
影響を受けるバージョンはMovable Type 9.1.0以前(9.1系)、9.0.6以前(9.0系)、8.8.2以前(8.8系)、8.0.9以前(8.0系)です。修正版として9.0.7、8.8.3、8.0.10等が提供されています。
▌中小企業への影響
Movable Typeは国内で広く利用されているCMSで、自社Webサイトやコーポレートサイトに採用している中小企業も多い構成です。Web制作会社に運用を委託している場合でも、脆弱性対応が実施されているか確認が必要です。放置するとWebサイトが改ざんされ、訪問者にマルウェアを配布するなどの二次被害が発生します。
▌推奨対応(緊急)
- Movable Typeを使用している場合は、直ちに修正版(9.0.7 / 8.8.3 / 8.0.10等)にアップデートする
- すぐにアップデートできない場合は、Data APIのアクセスを制限することで攻撃を緩和できる
- Web制作会社に運用を委託している場合は、本脆弱性への対応状況を確認し、対応予定日を回答してもらう
- アクセスログを確認し、不審なリクエスト(リスティング関連のAPIへの大量アクセス等)がないか調べる
NEWS 03
警視庁 | 2026年4月3日発表
都内ランサムウェア被害が68件で過去最多、全国では226件 ― 中小企業の被害が継続
警視庁は2026年4月3日、2025年(令和7年)の都内におけるランサムウェア被害件数が68件に達し、過去最多を更新したと発表しました。全国のランサムウェア被害報告件数は226件で、過去最多であった2022年の230件に次ぐ水準です。
都内のサイバー犯罪の検挙件数は2,142件・検挙人員1,568人と、いずれも前年から増加しています。警察庁が2026年3月に公表した年次報告では、フィッシング対策協議会への報告件数が過去最多の245万4,297件に達したことも明らかになっています。
実際の被害事例として、空調設備工事会社の三晃空調が2025年11月にランサムウェア攻撃を受け、複数のサーバーおよびPC端末が暗号化される被害に遭いました。同社は2026年3月31日に第二報を公表し、専門機関による調査を経て再発防止策を講じたとしています。従業員数約490人規模の企業でも被害が発生している現実を示す事例です。
▌中小企業への影響
全国226件のランサムウェア被害のうち、中小企業が占める割合は依然として高い水準にあります。攻撃者はセキュリティ対策が手薄な企業を効率的に狙う傾向が続いており、VPN機器の脆弱性やリモートデスクトップ(RDP)の設定不備が主要な侵入口です。一度被害に遭うとデータの暗号化による業務停止、復旧コスト、取引先への信用低下という三重の打撃を受けます。
▌推奨対応
- VPN機器(FortiGate・Pulse Secure等)のファームウェアを最新版に更新する。メーカーのサポートサイトで確認できる
- リモートデスクトップ(RDP / ポート3389)をインターネットに直接公開していないか確認する。公開している場合はVPN経由に切り替える
- バックアップが最新の状態であるか確認する。バックアップはネットワークから切り離した状態(オフライン)で保管する
- 万が一被害に遭った場合は、身代金を支払わず、まず警察と IPA の「情報セキュリティ安心相談窓口」に連絡する
編集部まとめ
今週の3本はそれぞれ「PDFファイルの取り扱い」「CMS(Webサイト管理ソフト)の更新」「VPN・RDPの点検」という異なる領域の話題ですが、共通しているのは攻撃者が日常的な業務ツールの隙を突いてくるという点です。Adobe Readerはパッチ未提供のためJavaScript無効化が当面の対策になります。Movable TypeはCVSS 9.8の緊急度であり、今週中にアップデートを完了させてください。ランサムウェアは統計上も被害が拡大し続けています。自社の対策状況を週明けに1時間かけて点検するだけでも、リスクを大幅に減らせます。
参考情報
- Haifei Li「Adobe Reader Zero-Day Exploited via Malicious PDFs Since December 2025」(The Hacker News、2026年4月9日)
- IPA「『Movable Type』における複数の脆弱性について(JVN#66473735)」(2026年4月8日)
- シックス・アパート株式会社「Movable Typeをご利用の方へ、脆弱性対策実施のお願い」(2026年4月8日)
- ScanNetSecurity「都内ランサムウェア被害 2025年 過去最多 68件 〜 警視庁」(2026年4月9日)
- 警察庁「令和7年におけるサイバー空間をめぐる脅威の情勢等について」(2026年3月10日)
- ScanNetSecurity「三晃空調、ランサムウェアの被害で情報漏えいの証跡は確認されず」(2026年3月31日)
secure
