Adobe Readerのゼロデイ脆弱性が数ヶ月間悪用されていた – GIGAZINE

AdobeのPDF閲覧ソフト「Adobe Reader」に実際に悪用されていると思われるゼロデイ脆弱(ぜいじゃく)性が発見されたことをセキュリティ研究者が報告しました。その脆弱性を利用した悪意のあるPDFファイルを開くと、情報を盗まれたりPCを乗っ取られたりする可能性が指摘されています。

Adobe Reader Zero-Day Exploited for Months: Researcher – SecurityWeek
https://www.securityweek.com/adobe-reader-zero-day-exploited-for-months-researcher/

Old Adobe Reader zero-day uses PDFs to size up targets • The Register
https://www.theregister.com/2026/04/09/monthsold_adobe_reader_zeroday_uses/

MicrosoftやMcAfeeといった企業で活躍してきたセキュリティ研究者のハイフェイ・リー氏は、ファイルベースのゼロデイ脆弱性やその他のエクスプロイトを検出するために設計されたサンドボックスベースのシステム「Expmon」の創設者兼開発者です。Expmonを利用した調査により、Adobe Readerの脆弱性が発見され、その脆弱性を利用して悪意のあるPDFファイルを開かせることでさまざまな種類の情報を収集・漏えいさせる攻撃につながる可能性があることが判明しました。

また、リー氏はXの投稿で「このAdobe Readerのゼロデイ攻撃の背後にある脅威アクターは、ローカル情報を単に収集するだけでなく、追加のエクスプロイトを実際に配信していたことがわかります」と述べており、サイバーセキュリティコミュニティにさらなる分析を呼びかけています。

攻撃を分析した脅威情報アナリストは、悪意のあるPDFファイルにはロシア語の誘導文が含まれており、ロシアの石油・ガス部門における時事問題に言及していたと指摘しました。

Adobe Readerの脆弱性を悪用する「PDFエクスプロイト攻撃」はファイルを開くとすぐに実行される悪意のあるPDFファイルを使用しており、ファイルを表示する以外のクリック操作を一切必要とせず、最新の環境でも防御が困難な可能性があるとされています。攻撃はPDFが起動するとすぐに実行される高度に難読化されたJavaScriptに依存しており、Adobe Acrobatに組み込まれているAPIを使用してローカルファイルやシステムの詳細などの情報をマシンから取得し、攻撃者が制御するサーバーに送信します。

リー氏は「攻撃の初期段階は基本的にOS情報、言語設定、ファイルパスなどを取得してアクセス先の環境を特定する偵察です。その環境が有用だと攻撃者が判断した場合、第2段階のペイロードを取得してAdobe Reader内部で実行します。この段階でさらに事態がエスカレートし、リモートコード実行やサンドボックスからの脱出にまで至る可能性があります。このような仕組みによって、攻撃者はユーザー情報を収集し、ローカルデータを盗み出し、将来の攻撃を開始することが可能になります。標的が攻撃者の条件を満たせば、攻撃者は追加の脆弱性を悪用して攻撃を実現する可能性があります」と説明しています。

リー氏によると、ファイルやウェブサイトのマルウェア検査を行うウェブサイトのVirusTotalにPDFエクスプロイト攻撃のサンプルがアップロードされたのは2025年11月28日で、調査によってそれが判明した2026年3月まで少なくとも約4カ月間は脆弱性が悪用されていた可能性があるとのこと。記事作成時点ではAdobeは公式な声明を発表しておらず、Adobe Readerの修正パッチ等も公開されていないため、セキュリティ研究者らは「未知のソースからPDFを開く習慣のあるユーザーは注意が必要」と呼びかけています。