高度なアドビPDFゼロデイ攻撃──アドビリーダーへの攻撃が継続中
アドビのPDFファイル閲覧用ソフトであるアドビリーダーに存在するゼロデイ脆弱性が、少なくとも2025年12月以降、脅威アクター(サイバー攻撃を仕掛ける者)によって悪用されてきたことをあるセキュリティ研究者が確認した。
サンドボックス方式の攻撃手段検知基盤「EXPMON」の開発者として知られるハイフェイ・リーが、攻撃者が「アドビリーダーの未修正のゼロデイ脆弱性を悪用しており、これによってアクロバット(Acrobat)の特権的なAPI(アプリケーション・プログラミング・インターフェース)を実行することが可能で、アドビリーダーの最新版でも動作することが確認されている」と警告したのだ。
悪意を持って細工されたアドビPDF文書が利用されること自体は、前述の通り、特に衝撃的でも新しくもない。ドロップボックス(Dropbox)、マイクロソフト、ペイパル(PayPal)のユーザーに尋ねてみれば、それを不本意ながら裏付けてくれるだろう。しかし、今回のゼロデイ攻撃は、被害者がPDF添付ファイル内の怪しいリンクをクリックすることに依存していない。事態はそれよりもはるかに深刻である。リーは、この攻撃手段が「PDFファイルを開く以外の一切のユーザー操作を必要とせず、アドビリーダーの最新版で動作する」と警告している。
X上でGi7w0rmの名で投稿している別のセキュリティ研究者は、この攻撃が「アドビリーダーのJavaScriptエンジンの一部を悪用しているようだ」と指摘した。また、これまでに攻撃で使用されたことが確認されている文書には「ロシア語のおとり文句が含まれており、ロシアの石油・ガス業界に関連する時事問題に言及している」という。
アドビ、脆弱性に対処するためのセキュリティ情報を公開
筆者がアドビに声明とユーザー向けアドバイスを求めたところ、広報担当者は、脆弱性に対処するためのセキュリティ情報(APSB26-43)が公開され、WindowsおよびmacOS向けのAdobe AcrobatおよびReaderのアップデートが現在提供中であることを確認した。
アップデートが提供される対象製品は以下の通りで、いずれもアドビから優先度1(Priority 1)のステータスが付与されている。
・Acrobat DC
・Acrobat Reader DC
・Acrobat 2024
ソフトウェアの手動アップデートは、「ヘルプ」メニューの「アップデートの確認」から実行できる。アドビによれば、アップデートが検出された場合、ソフトウェアは「ユーザーの操作を必要とせず自動的にアップデートされる」という。
管理環境下の管理者に対してアドビが推奨する導入方法は、「Windows環境ではAIP-GPO、ブートストラッパー、SCUP/SCCM、macOS環境ではApple Remote DesktopおよびSSHなど、各自が採用している方法を使用すること」だ。週末の予定が台無しになった人には申し訳ないが、これが現実だ。
