Adobe Readerにゼロデイ脆弱性が存在し、少なくとも2025年12月から現在に至るまで、実際の攻撃に使われ続けていることが明らかになった。サンドボックス型エクスプロイト検出プラットフォーム「EXPMON」の創設者であるセキュリティ研究者Haifei Li氏が発見し、公表したもので、現時点でAdobe側からのパッチはまだリリースされていない。
何が起きているのか
今回の脆弱性の最も恐ろしい点は、ユーザーがPDFを開く以外の操作を一切必要としないことだ。リンクをクリックする必要も、マクロを有効にする必要もない。ただ、メールに添付されたPDFをいつもどおり開くだけで感染が成立しうる。
この攻撃は「フィンガープリント型エクスプロイト」と呼ばれる高度な手法を採用している。まず被害者の環境情報を収集・識別し、その後に追加の攻撃(リモートコード実行=RCE、サンドボックス脱出=SBX)へと展開する多段階の仕組みになっている。情報収集に使われているのはAcrobat内部の特権API(util.readFileIntoStreamおよびRSS.addFeed)であり、本来PDFアプリケーションに用意されている機能が悪用されているのが技術的な肝だ。
ロシア語のおとり文書と標的
脅威インテリジェンスアナリストのGi7w0rm氏が分析したところ、攻撃に使われたPDF文書にはロシア語の内容が含まれており、ロシアの石油・ガス産業に関連する時事的な話題を装っていることが確認されている。これは標的が比較的絞り込まれていることを示唆しており、無差別なばら撒きではなく、特定の組織や業界を狙ったターゲット型攻撃の可能性が高い。
とはいえ、脆弱性の仕組み自体はAdobe Readerの最新バージョンで動作するものであるため、攻撃が転用・拡散される前に対策を取ることが重要だ。
実務での対応ポイント
パッチがまだない以上、今すぐ取れる対策は以下の通りだ。
エンドユーザー向け
- 信頼できない送信元からのPDFは、パッチリリースまで絶対に開かない
- 特に、業務上覚えのないPDFメールには最大限の警戒を
- Adobe Readerの自動アップデートを有効にしておき、パッチが出たら即座に適用できる状態にしておく
IT管理者・ネットワーク担当者向け
- HTTPおよびHTTPSトラフィックのUser-Agentヘッダーに
"Adobe Synchronizer"という文字列が含まれる通信を監視・ブロックする(Li氏が推奨する緩和策) - プロキシやエンドポイント保護製品でこのシグネチャを追加設定することで、通信段階での遮断が可能
- EDR(エンドポイント検知・対応)製品のアラートを強化し、Adobe Readerプロセスから不審なネットワーク接続や外部ファイルアクセスが発生していないか監視する
ゼロトラスト観点での補足:今回の攻撃はネットワーク境界を突破するものではなく、信頼された内部アプリケーション(Adobe Reader)を踏み台にする手法だ。境界型セキュリティだけでは検知が難しく、アプリケーション層・プロセス層での振る舞い監視が有効性を発揮する場面だ。
筆者の見解
ゼロデイ脆弱性の4ヶ月間放置という事実は、改めてパッチ管理の難しさを突きつける。Adobeの対応スピードについては、公表後の動向を引き続き注視したい。
それ以上に気になるのは構造的な問題だ。「PDFを開く」という日常業務の動作が攻撃面になる以上、ユーザー教育だけでの防御には限界がある。エンドポイント上でのアプリケーション挙動監視と、ネットワーク通信ログの突合による異常検知の組み合わせが、こうした未知の脅威に対して実効性を持つ。
今回の「フィンガープリント型」という手口も興味深い。攻撃者は被害者を識別してから次の段階に進む——つまり、単に悪意あるコードを実行するだけでなく、標的の価値を確認した上で追加投資するかどうかを判断している。高度なAPT(持続的標的型攻撃)に見られる特徴で、無差別ばら撒きとは一線を画す。
パッチが出るまでの間、Haifei Li氏が公開した緩和情報は現時点での最善策だ。「今動いているから大丈夫」ではなく、「まだ動いているが今日はやられるかもしれない」という感覚で臨みたい。
出典: この記事は Hackers exploiting Acrobat Reader zero-day flaw since December の内容をもとに、筆者の見解を加えて独自に執筆したものです。