Adobe Readerゼロデイ、PDFを開くだけで情報流出

最新版のAdobe Acrobat Readerに、未修正のゼロデイが潜んでいる。クリックも警告もいらない。PDFを開いた、その瞬間に攻撃は始まっている。4か月以上、この手口は誰の目にも留まらなかった。

「開くだけ」で完結する攻撃

セキュリティ研究者のハイフェイ・リ（Haifei Li）が、自身の運営するサンドボックス型エクスプロイト検知プラットフォームEXPMONで、奇妙なPDFを捕まえた。ファイル名は「yummy_adobe_exploit_uwu.pdf」。冗談めいた名前とは裏腹に、中身は相当な腕前の持ち主が作ったものだった。

このPDFは、最新版のAdobe Acrobat Readerで動く。ユーザーに求められる操作は、ファイルを開くことだけ。追加のクリックも、怪しい警告ダイアログも挟まらない。開いた瞬間、難読化されたJavaScriptが走り出し、本来サンドボックスの外にいるはずのAcrobat APIを呼び始める。

「この『フィンガープリント』エクスプロイトは、最新版のAdobe Readerでも通用する未修正の脆弱性を突いている。PDFファイルを開く、それ以外の操作は一切いらない」——ハイフェイ・リの報告より。

悪用されているのはutil.readFileIntoStream()とRSS.addFeed()という2つのAcrobat JavaScript APIだ。前者はローカルファイルを読み取る機能、後者は外部サーバーとの通信とJavaScriptの追加受信に使われる。どちらも本来、信頼できないPDFから呼ばれてはいけないもの。サンドボックスの中から、外の世界に手を伸ばすための抜け道として使われている。

4か月、誰も気づかなかった

時系列を並べると、この攻撃が異様に長く生き延びていたことがわかる。最初の検体「Invoice540.pdf」がVirusTotalに投稿されたのは2025年11月28日。2つ目の検体が上がったのは2026年3月23日。EXPMONが異常を掴んだのは、つい数日前のことだ。

つまり、少なくとも4か月間、この攻撃は野放しだった。従来のウイルス対策ソフトは、ほとんど反応していない。

VirusTotalでの初期検出率は64エンジン中わずか5件。既存の「マルウェアを探す」発想の検知器では、この手のPDFは素通りしてしまう。

・ ・ ・

なぜ見逃されたのか。答えは、このエクスプロイトが「壊す」ことより「覗く」ことを優先した設計だからだ。ペイロードを派手にばらまけば検知されやすい。だから最初はひっそりと情報だけ集める。本命の攻撃は、値踏みが済んだ相手にだけ送り込む。

検知には「マルウェアを探す視点」と「エクスプロイトを探す視点」がある。前者はファイルの挙動を見る。後者は脆弱性の悪用パターンそのものを見る。今回のPDFは、前者の網をすり抜ける作りになっていた。

ロシア語のおとりと、選別される標的

脅威インテリジェンスの分析官Gi7w0rmがこのPDFをさらに調べたところ、文面はロシア語で書かれており、ロシアの石油・ガス業界の現状に関する文書を装っていた。単なるばらまき型ではなく、特定の業界関係者を狙った意図がはっきり見える。

攻撃者のC2サーバー（169.40.2.68:45191）は、接続は受け付けるものの、研究者のテスト環境には本命のペイロードを返してこなかった。サーバー側で標的を選別し、本物と判断した相手にだけ次の段階の攻撃を送り込む仕組みとみられる。

誰彼構わず感染させるタイプの攻撃ではない。まずPDFで身辺調査をし、見込みのある相手にだけRCE（リモートコード実行）やサンドボックス脱出の本編を届ける。スパイ活動や、狙いを定めた高度な侵入に特有のふるまいだ。

リが自前のサーバーに接続先を差し替えて検証したところ、返したJavaScriptはAdobe Reader上でそのまま実行された。つまり、C2が本気を出せば、被害者のPCを完全に掌握するまでの道筋はすでに通っている。

パッチがないあいだ、できること

厄介なのは、Adobeへの通報は済んでいるものの、執筆時点でパッチが出ていないことだ。CVE番号すら割り当てられていない。「最新版にアップデートしてください」という、セキュリティ記事で一番無難な助言が、今回は通用しない。

ネットワーク側の防御としては、HTTP/HTTPSトラフィックのUser-Agentヘッダーに「Adobe Synchronizer」という文字列を含む通信を監視・遮断することが推奨されている。エクスプロイトが通信時に使う固有の指紋だ。ただし攻撃者がインフラを切り替えれば、この手掛かりはすぐに陳腐化する。

では、普通のユーザーに何ができるのか。リの助言は拍子抜けするほど古典的だ。信頼できない相手から届いたPDFを、パッチが出るまで開かない。それだけ。

自分の受信箱を、いま一度見てほしい。「開いていいPDF」と「開いてはいけないPDF」の境界線を、自分はどれだけ意識していただろうか。多くの人にとって、PDFは「とりあえず開いても安全なもの」の代名詞だったはずだ。その認識が、いま揺らいでいる。

4か月気づかれなかった攻撃が1つあるということは、同じように気づかれていない攻撃も、たぶん他にある。そう考えて動くしかない。

参照元

• Haifei's random thoughts - EXPMON detected sophisticated zero-day fingerprinting attack targeting Adobe Reader users

他参照

• BleepingComputer - Hackers exploiting Acrobat Reader zero-day flaw since December

関連記事

• ロシアGRU、家庭用ルーター1万8000台を乗っ取りOutlook認証情報を窃取
• Flatpakに致命的な脆弱性、サンドボックスを完全に突破される
• Windowsゼロデイ「BlueHammer」流出、MSRCへの怒りが引き金
• 中国スパコンから10PB流出疑惑、VPN1本で半年素通り
• イラン系ハッカー、米国の水道・電力を「実際に破壊」──FBIが異例の緊急警告
• Firefox 149.0.2公開、5件の高深刻度脆弱性を修正
• AnthropicのClaude Mythosが「すべての主要OS・ブラウザ」で数千のゼロデイ脆弱性を発見、危険すぎて一般公開せず
• Drift 2.7億ドル流出の裏に北朝鮮の6か月潜入工作
• Apple、異例の「バックポート」でiOS 18にDarkSword対策パッチを配信
• ChatGPTの「安全な箱」にDNSの穴——データ漏洩脆弱性の全容