概要
Adobe Acrobat Readerに未公開のゼロデイ脆弱性が存在し、2025年11月28日にVirusTotalへ最初のサンプルがアップロードされて以来、少なくとも4ヶ月以上にわたって悪用され続けていることがセキュリティ研究者Haifei Liの調査によって明らかになった。Adobeはいまだにパッチを公開しておらず、CVE番号も未割り当てのまま、最新バージョンのAdobe Readerを使用しているすべてのユーザーが攻撃にさらされている状態が続いている。2026年3月23日には2件目のサンプルが発見されており、キャンペーンが継続中であることが確認されている。
攻撃手法と技術的詳細
攻撃は悪意を持って細工されたPDFファイルを通じて実行される。ファイルを開くだけで難読化されたJavaScriptが自動的に実行され、ユーザーの追加操作は一切不要だ。攻撃者はutil.readFileIntoStreamやRSS.addFeedといった本来は権限を要するAcrobat内部APIを悪用し、システム情報(OSの詳細、言語設定、ファイルパスなど)を収集する。窃取されたデータは攻撃者が管理するC2サーバー(169.40.2[.]68:45191)に送信される。
Li氏はこのエクスプロイトについて「ユーザー情報の収集・ローカルデータの窃取・高度なフィンガープリンティングを可能にし、将来の攻撃を準備するための基盤を構築する」と警告している。初期段階の情報収集に留まらず、選別したターゲットに対して第二段階のペイロードを展開することで、リモートコード実行(RCE)やサンドボックスエスケープへとエスカレートする可能性がある。
標的と背景
研究者Gi7w0rmの分析によると、ルアーとして使用されるPDFはロシア語で記述されており、ロシアの石油・ガス産業に関連する内容を扱っている。特定のセクターや地域を意識した高度な標的型攻撃(APT)の手法を示唆しており、高価値ターゲットを選別して攻撃を絞り込む洗練された脅威アクターの関与が疑われる。約4ヶ月間にわたって公開されずに悪用が継続していたことも、攻撃の高度さを裏付けている。
推奨される対応策
Adobeがパッチを公開するまで、ユーザーは以下の対応が推奨される。信頼できないソースからのPDFファイルを開かないことが最も重要だ。また、ネットワーク監視においてUser-Agentヘッダーに「Adobe Synchronizer」を含むHTTP/HTTPSトラフィックが侵害の指標(IOC)となる。法人環境では、Adobe Readerの使用に関するポリシーの見直しや、PDFサンドボックスを強化した代替ビューアーの検討も有効な対策となり得る。