PDF悪用のフィッシング攻撃が急増、検知困難な新手口と対策

Security Boulevardは3月14日(現地時間)、「PDF Phishing: How Cybercriminals Exploit PDF Documents in Modern Email Attacks - Security Boulevard」において、PDFを起点とした最新の攻撃手法について解説し、リンクやQRコード、フォームなどを悪用した巧妙な誘導が広がっていると指摘した。

PDFは“開いても安全”という思い込みが攻撃の起点になっている。しかし、企業にとっては従来の対策だけでは防ぎきれないリスクとなっており、検知と教育を組み合わせた対応が求められている。

PDFを悪用する攻撃が急増している　Photo：PIXTA

PDFに仕込まれる主な誘導手法

PDFを悪用した攻撃では、文書内に埋め込まれたリンク、ボタン、画像、フォーム、QRコードなどを使用して誘導する事例が多い。誘導先は認証情報を入力させるフィッシングサイトが中心で、入力された情報は攻撃者に送信される。

窃取された情報はアカウントの乗っ取り、内部情報の閲覧、金銭の詐取、個人情報の悪用などに流用される可能性がある。また、乗っ取られたアカウントが別の従業員や取引先への攻撃に再利用される例も多く、被害は連鎖しやすい。

なぜPDF攻撃は成立しやすいのか

攻撃が成立しやすい背景には、PDFが「業務で扱う正式な文書」という印象を持たれやすい点にある。攻撃者は企業の書式やロゴを模倣し、実在する取引先を装った文書を作成する。請求書、支払い確認、契約関連の書類、社内通知、配送関連の案内など、日常業務で頻繁に受け取る形式に似せることで、受信者の疑いを回避する。

PDFの構造も攻撃に悪用されやすい。PDFには文書を開いた際に特定の動作を実行できる仕組みがあり、攻撃者はこれを誘導の補助に使う。さらに、文書内のオブジェクトにURLを割り当てる仕組みや、JavaScriptを埋め込む機能も悪用される。これらは本来、フォーム入力や文書操作を便利にするための機能だが、攻撃者は誘導の隠蔽や検知回避に利用している。

電子署名の外観を模した偽装も広がっている。PDFには改ざん検知や署名者の確認を行う仕組みがあるが、攻撃者は署名に似せた画像を貼り付けることで受信者を信用させようとする。多くの利用者は署名の真贋を検証する手順に慣れておらず、見た目だけで判断してしまうことが多い。

なぜ不正PDFは検知できないのか

不正なPDFの自動検知が難しい理由としては、解析に高度な処理が必要である点が挙げられる。従来のメール対策は本文の分析に重点を置いており、添付ファイル内部の構造解析は十分でない場合が多い。PDF内のリンクが難読化されていたり、QRコードのように画像としてURLが埋め込まれたりしていると、検知はさらに難しくなる。

攻撃者が誘導先のサイトを一時的に無害な状態にしておき、後から悪意ある内容に切り替える手法も確認されている。

企業が取るべき対策：認証・検知・教育

組織が取るべき対策として、送信元のなりすましを防ぐための認証技術の導入が提案されている。送信元の正当性を確認する仕組みを整えることで、偽装メールの流入を減らせるという。また、添付ファイルを仮想環境で開き、内部のリンクや動作を解析する仕組みも重要とされ、画像として埋め込まれた要素を読み取り、誘導の意図を判断する技術も必要とされる。

URLの安全性を確認する仕組みも欠かせない。PDF内のリンクをクリックした際に、誘導先の安全性を即時に確認し、危険な場合は接続を遮断する仕組みが必要となる。攻撃者は誘導先を頻繁に変えるため、最新の情報に基づく判定が求められる。

従業員教育も重要だ。攻撃を模した訓練を行い、どのような文書が危険なのかを経験させることが効果的だ。具体的には、PDF内のリンクの確認方法や、QRコードを安易に読み取らない姿勢を身につけることが求められる。組織体制としては、疑わしいメールを迅速に報告できる仕組みを整えることも、被害拡大の防止につながる。