EXPMONのセキュリティ研究者が、Adobe Readerを標的とする未パッチのゼロデイ脆弱性を発見した。
2026年3月下旬に実環境で初めて検出されたもので、悪意あるPDF「yummy_adobe_exploit_uwu.pdf」はVirusTotalでの検出率が64分の5にとどまる。Adobe Reader最新版(26.00121367)でも有効であり、PDFを開くだけで発動する。util.readFileIntoStream() APIでローカルファイルを読み取り、RSS.addFeed() APIを通じてIPアドレス169.40.2.68:45191へデータを送信する仕組みだ。EXPMONの創設者ハイフェイ・リー氏がAdobe Securityへ報告済みだが、2026年4月8日時点で公式パッチは未提供である。
From: 
Hackers Target Adobe Reader Users With Sophisticated Zero-Day Exploit
【編集部解説】
今回の脆弱性は、単なる「新種マルウェア」の発見ではありません。私たちが毎日何気なく開いているPDFというファイル形式そのものが、開いた瞬間から兵器として機能しうることを証明した事例です。
GBHackersの元記事では「先月末に初めて検出された」と記されていますが、複数の一次情報を精査すると、この攻撃キャンペーンはすでに2025年11月28日時点でVirusTotalに最初のサンプル(「Invoice540.pdf」)が提出されており、実際には少なくとも4ヶ月以上にわたって継続していた可能性が高いといえます。「先月末」という表現はあくまでEXPMONが検知したタイミングであり、攻撃の開始時期ではありません。
この攻撃が際立っているのは、その「選別性」にあります。悪意あるPDFを開いたすべての端末が同じ被害を受けるわけではなく、まず言語設定やAdobeのバージョン、ローカルファイルのパスといった環境情報を収集して攻撃者に送信します。その情報を基に攻撃者が「高価値な標的」と判断した場合にのみ、第2段階のペイロードが届けられる仕組みです。これはAPT(Advanced Persistent Threat)、すなわち国家や大規模組織が背後にいる標的型攻撃に特徴的な手法です。
攻撃の動機についても注目すべき情報があります。脅威インテリジェンス研究者のジュゼッペ・マッサーロ(Gi7w0rm)氏の分析によれば、確認されたPDFドキュメントにはロシア語のおとり文書が含まれており、内容はロシアの石油・ガス産業に関する時事ニュースに関連するものでした。産業スパイや地政学的動機を持つ攻撃者が背後にいる可能性が否定できません。
技術的な深刻さも見過ごせません。攻撃に悪用された util.readFileIntoStream() と RSS.addFeed() という2つのAPIは、本来サンドボックス(隔離環境)内で制限されているはずの特権的な機能です。つまり、Adobeが設計したセキュリティの根幹である「サンドボックス」そのものが形骸化させられており、これはAdobeのアーキテクチャ設計上の問題として、将来的なソフトウェア設計論にも影響を与えかねない指摘といえます。
防御の観点からは、既知のIPアドレス(169.40.2.68:45191、188.214.34.20:34123)のブロックに加え、User-Agentフィールドに「Adobe Synchronizer」を含むHTTP/HTTPSトラフィックの監視、そして AdobeCollabSync.exe による外部ネットワーク接続の検知が有効です。ただし、攻撃インフラの切り替えは容易であるため、これらはあくまで暫定措置にすぎません。
世界中で広く普及しているAdobe Readerが、今この瞬間もパッチなしの状態にあることは、現代のデジタルインフラが抱える脆弱性の深さを改めて露わにしています。私たちは「信頼していたファイル形式」という前提を、今一度疑うべき局面に来ています。
【用語解説】
ゼロデイ脆弱性(Zero-Day Vulnerability)
ソフトウェアのセキュリティ上の欠陥のうち、開発元がまだ把握していないか、把握していても修正パッチが未提供の状態にあるものを指す。「ゼロデイ」とは「修正までの猶予日数がゼロ」を意味し、防御側が対応策を講じる前に攻撃が行われる点で特に危険度が高い。
APT(Advanced Persistent Threat)
高度な技術と豊富なリソースを持つ攻撃者集団による、長期的かつ標的を絞った持続的なサイバー攻撃のこと。国家機関や大規模な犯罪組織が背後にいるケースが多く、無差別なばらまき型攻撃とは異なり、特定の組織や個人を狙う。
サンドボックス(Sandbox)
ソフトウェアを隔離された仮想環境内で動作させ、外部のシステムに影響を与えないようにするセキュリティ機構。Adobe Readerにも組み込まれているが、今回の攻撃ではこのサンドボックスが本来禁じているAPIが不正に呼び出された。
ペイロード(Payload)
マルウェアや攻撃コードにおける「本体」の部分を指す。今回の攻撃では、第1段階の偵察(フィンガープリンティング)の後、条件を満たした標的にのみ暗号化された第2段階のペイロードが送り込まれる設計になっている。
フィンガープリンティング(Fingerprinting)
攻撃対象のシステム環境(OSバージョン、インストール済みソフトウェア、言語設定など)を収集・分析し、標的の「指紋」を採取する偵察手法。今回の攻撃では、この情報をもとに攻撃者が標的の価値を判断し、次段階の攻撃を行うかどうかを選別している。
RCE(Remote Code Execution:リモートコード実行)
攻撃者が被害者のコンピュータに対してネットワーク越しに任意のコードを実行できる状態を指す。成功すれば、システムの完全な制御奪取につながりうる最も深刻な攻撃手法のひとつ。
SBX(Sandbox Escape:サンドボックス脱出)
本来、隔離されているはずのサンドボックス環境を突破し、ホストOSや外部システムへのアクセスを獲得する攻撃手法。サンドボックス脱出に成功すると、システム全体の制御が攻撃者の手に渡る危険性がある。
AdobeCollabSync.exe
Adobe Readerに付随する正規のプロセスで、通常はコラボレーション機能などに使用される実行ファイル。今回の攻撃では、このプロセスが外部サーバーへの通信を行うことが、攻撃検知の手がかりのひとつとなる。
User-Agent(ユーザーエージェント)
HTTPリクエスト時にブラウザやアプリケーションが送信する識別文字列。今回の攻撃では「Adobe Synchronizer」という文字列をUser-Agentに含む通信が悪用されており、この文字列を含むトラフィックの監視がひとつの防御指標となっている。
【参考リンク】
Adobe Acrobat Reader(外部)
アドビが提供する世界標準のPDFビューワー。無料版と有料版が存在し、今回のゼロデイ攻撃の標的となったソフトウェアである。
EXPMON Public(エクスプモン)(外部)
高度なファイルベースのエクスプロイトを検出するサンドボックス型サイバーセキュリティシステム。今回の脆弱性を最初に検知したプラットフォームである。
VirusTotal(外部)
Googleが所有するマルウェア解析プラットフォーム。70以上のエンジンでスキャンでき、今回の攻撃サンプルは当初、検出率64分の5という低水準にとどまっていた。
【参考記事】
EXPMON detected sophisticated zero-day fingerprinting attack targeting Adobe Reader users(Haifei Li’s Blog)(外部)
EXPMON創設者ハイフェイ・リー氏による一次情報。検知経緯、難読化されたJavaScriptの解析詳細、APIの悪用方法、実環境テスト結果、新たな亜種(IPアドレス188.214.34.20:34123)の発見までを詳述している。
Hackers exploiting Acrobat Reader zero-day flaw since December(BleepingComputer)(外部)
攻撃が少なくとも2025年12月から継続していること、「Invoice540.pdf」が2025年11月28日にVirusTotalへ提出されていたことなどを報じている。
Adobe Reader Zero-Day Exploited via Malicious PDFs Since December 2025(The Hacker News)(外部)
「Invoice540.pdf」の初回提出日と、ロシアの石油・ガス産業を標的にしたおとり文書についてジュゼッペ・マッサーロ(Gi7w0rm)氏の分析を交えて報じている。
Old Adobe Reader zero-day uses PDFs to size up targets(The Register)(外部)
攻撃の「選別性」に着目し、標的型攻撃としての性質とロシア石油・ガス産業へのおとり文書について詳しく解説している。
Acrobat Reader zero-day exploited in the wild for many months(Help Net Security)(外部)
2025年11月以前からの継続的攻撃の可能性と、2つのIPアドレスのブロックやAdobeCollabSync.exeの外部通信検知など具体的な防御策を提示している。
Adobe Reader Zero-Day Exploited to Steal Data via Malicious PDFs(Hackread)(外部)
ジュゼッペ・マッサーロ(Gi7w0rm)氏のX投稿を引用し、攻撃対象がロシアの石油・ガス関連業界である可能性を補強している。
VirusTotal — How it works(公式ドキュメント)(外部)
VirusTotalが70以上のエンジンでスキャンするサービスであることを公式に説明。記事内の「5/64」がエンジン総数ではなく検出比率であることの確認に使用した。
【編集部後記】
毎日、何百回と開いているPDFファイル。その当たり前の行為が、今この瞬間も見えない脅威に晒されているとしたら——そう感じた方は、ぜひ周囲の方にもこの情報をシェアしてみてください。セキュリティは一人で守るものではなく、知っている人が伝えることで、はじめて広がっていくものだと私たちは思っています。
