PDFフィッシング：現代のメール攻撃においてサイバー犯罪者がPDF文書を悪用する方法

PDFファイルは、現代のビジネスにおいて欠かせない存在です。公式な印象を与え、共有も容易であり、契約書、請求書、人事関連書類、財務報告書などにおいて広く信頼されています。しかし、その親しみやすさゆえに、PDFファイルはサイバー犯罪者の武器庫において最も強力な武器の一つとなっています。

その結果、PDFフィッシングが急速に増加しています。これは、一見無害に見えるPDFファイルを利用して防御をすり抜け、被害者に認証情報を渡させるように仕向ける手口です。この包括的なガイドでは、PDFフィッシングの仕組み、その高い効果の理由、攻撃者が用いる最新の手口、そして組織がこれに対抗するために講じるべき具体的な対策について解説します。

PDFフィッシングとは何ですか？

PDFフィッシングとは、悪意のあるPDFファイルを電子メールの添付ファイルとして送信するサイバー攻撃の一種です。メール本文に偽のリンクが記載される従来のフィッシングとは異なり、PDFフィッシングでは攻撃の手段が文書内に直接埋め込まれています。その目的は従来と同様、受信者を騙してログイン情報、金融データ、個人情報などの機密情報を開示させることにあります。
これらの攻撃は、日常の業務に溶け込むように巧妙に作られており、多くの場合、次のような形を装っています：

• 未払いの請求書または入金確認
• 緊急発注
• 署名が必要な法的合意または契約
• 福利厚生の概要や給与明細の更新など、人事関連の書類
• 発送通知または配達失敗の通知

PDFファイル内では、攻撃者は埋め込まれたハイパーリンク、入力可能なフォーム、QRコードなど、さまざまな手法を用いて、被害者を偽造されたものの非常に説得力のある、認証情報を収集するウェブサイトへ誘導します。

被害者が情報を入力してしまうと、深刻な結果を招く恐れがあります：

• メールアカウントの乗っ取り：攻撃者が社内通信へのアクセス権を取得する
• 金融詐欺：彼らは不正な送金を行ったり、給与振込先情報を変更したりすることがあります。
• ビジネスメール詐欺（BEC）：乗っ取られたアカウントは、他の従業員、取引先、または顧客を標的にするために利用されます。
• 個人情報の盗難：盗まれた個人情報は、売買されたり、さらなる犯罪に利用されたりする可能性があります。
• 横方向の移動：侵害されたアカウントは、ネットワーク内にさらに危険なマルウェアやランサムウェアを展開するための足がかりとして利用されます。

攻撃者がPDF添付ファイルを好む理由

PDFを利用したフィッシングへの移行は、決して偶然の産物ではない。これは、メールセキュリティの強化と人間の心理に対する、周到に計算された対応なのである。

1. 本質的な信頼とプロ意識の活用

PDFは公式文書の標準形式です。従業員が、見覚えのある取引先や同僚から送られてきたと思われるPDFの添付ファイルを受け取ると、自然と警戒心が緩んでしまいます。攻撃者はこの信頼を利用し、企業のロゴやフォント、文言を細部まで忠実に模倣することで、偽の文書を本物と見分けがつかないように仕立て上げます。

2. 攻撃対象領域を添付ファイルへ移行する

多くのメールセキュリティゲートウェイは、メール本文内のテキストやリンクのスキャンに優れています。しかし、添付ファイル内のコンテンツを分析することは、より複雑で、多くのリソースを必要とします。攻撃者は、悪意のあるリンクをPDFファイル内に埋め込むことで、監視の目が届きにくい場所へ攻撃対象を巧みに移すことができます。メール本文自体は、「ご依頼の資料を添付いたします」といった単純な一文のみが含まれており、一見無害に見える場合があります。

3. ペイロードを目立つ場所に隠す

PDFファイルには、悪意のあるリンクを隠すことができる複数のレイヤーが存在します：

• ハイパーリンクされたテキスト：「請求書を見るにはここをクリック」といった一見無害なフレーズが、悪意のあるサイトへリンクされています。
• ボタンとインタラクティブ要素：埋め込みボタンは、クリックされた際にURLを開くように設定できます。
• グラフィカルオーバーレイ：攻撃者はボタンの画像の上に目に見えないリンクを配置することができ、その領域をクリックするとリダイレクトが実行される。
• 埋め込みQRコード：「クィッシング」と呼ばれるこの手口は急速に広がっています。URLが画像にエンコードされており、テキストとして表示されることがないため、リンク分析を完全に回避できてしまいます。

4. URLの信頼性チェックの回避

ユーザーがメール内のリンクをクリックすると、多くの場合、既知の悪意あるサイトのリストとリアルタイムで照合されます。一方、ユーザーがモバイル端末でPDF内のQRコードをスキャンする場合、そのリアルタイムチェックが行われないか、あるいは企業のセキュリティ境界の外で行われるため、攻撃が成功してしまう可能性があります。

PDFフィッシングの手口

その仕組みを理解することは、より効果的な防御策を構築するのに役立ちます。

悪意のあるPDFの構造

PDFは、本質的にテキスト、フォント、画像、およびインタラクティブな要素を格納するコンテナです。攻撃者は、この構造をいくつかの方法で悪用します：

• /OpenAction アクション：これは PDF 仕様の重要な要素であり、ドキュメントを開いた際に、Web サイトの起動など、特定のアクションを自動的に実行できるようにするものです。最近の PDF リーダーでは通常、実行前にユーザーに警告が表示されますが、攻撃者はこれをソーシャルエンジニアリングと組み合わせて利用することがあります。例えば、「安全なドキュメントを表示するには『OK』を押してください」といったメッセージを表示させるといった手口です。
• URI（Uniform Resource Identifier）アクション：これが最も一般的な方法です。PDF内のテキスト文字列またはオブジェクトにURIアクションが割り当てられます。ユーザーがこれとインタラクションを行うと、PDFリーダーはデフォルトのブラウザを起動し、埋め込まれたリンク先へ移動します。
• JavaScript：PDFファイルにはJavaScriptが埋め込まれている場合があります。これらは正当なインタラクティブなフォームに使用されることが多くありますが、攻撃者はこれを利用して文書を改ざんしたり、要素を非表示にしたり、リダイレクトを引き起こしたりすることができ、こうした行為は静的解析ツールでは検出が困難な場合があります。

PDFにおけるデジタル署名：悪用される可能性のある信頼

PDFファイルには、署名者の身元を確認し、文書が改ざんされていないことを保証するための暗号技術を用いた識別子であるデジタル署名が含まれていることがよくあります。正当なビジネスワークフローにおいて、デジタル署名されたPDFは、改ざん防止機能による検証が可能であるため、契約書、調達書類、コンプライアンス報告書、および財務承認書などに利用されています。

攻撃者は、フィッシング攻撃において、PDFの署名に対する信頼感を利用することがあります。悪意のあるPDFには、有効な署名ブロックや会社の社印、あるいは「検証済み文書」というバナーのように見えるものが表示され、受信者にそのファイルが本物であると信じ込ませようとします。実際には、こうした目に見える署名は、真の暗号署名ではなく、単なる画像やグラフィックに過ぎない場合があります。多くのユーザーは署名された文書を正当なものだと捉えるため、この視覚的なトリックによって、フィッシング用のPDFははるかに説得力のあるものに見えてしまうのです。
このため、組織は従業員に対し、目に見える署名の画像だけに頼るのではなく、PDFリーダーの署名検証ツールを使用して署名を検証するよう教育すべきです。

よくあるPDFフィッシングの手口と実例

攻撃者は常に新たな手口を編み出していますが、いくつかの手法は依然として広く使われています。

1. 「ドキュメントを表示」ボタンが付いた偽の請求書

これは典型的な手口です。 メールの件名は「[ベンダー名]からの未払い請求書」といった緊急を思わせる内容です。添付されたPDFには、一見すると本格的な請求書の概要が表示されていますが、詳細部分はぼやけていたり欠落していたりします。画面には「請求書を表示」や「PDFをダウンロード」といった大きなボタンが目立つように配置されています。このボタンをクリックすると、Microsoft 365、Google Drive、またはベンダーのポータルサイトを模倣したフィッシングページに誘導され、認証情報を盗み取られるよう仕組まれています。

2. 「保護されたドキュメント」のログイン画面

この手口は、ユーザーのセキュリティに対する期待を悪用するものです。PDFには「この文書はパスワードで保護されています。本人確認と内容の閲覧を行うには、メールアドレスでログインしてください」といったメッセージが表示されます。その下には、PDFに直接埋め込まれたログインフォームがあります。ユーザーが認証情報を入力すると、そのデータは攻撃者が管理するサーバーに送信されるか、あるいは「送信」ボタンがクリックされた際にデータを盗み出すように仕組まれたPDF自体によって、データが外部へ流出させられる可能性があります。

3. QRコードフィッシング（「クイッシング」）

これは急速に広まっている詐欺の手口です。PDFファイルには、新しい社内方針や二要素認証（2FA）の更新に関する通知が記載されており、従業員がスマートフォンでスキャンするよう指示されたQRコードが添付されている場合があります。このコードをスキャンすると、偽装されたログインページに誘導されます。ユーザーが個人の端末を使用しているため、企業のセキュリティ対策が適用されていない可能性があり、また元のURLが隠されているため、悪意のあるものだと見破るのが困難です。

4. VBAとPDFを組み合わせた攻撃

より巧妙な攻撃では、PDFファイルに、フィッシングページへ直接リンクしていないURLが含まれている場合があります。そのURLをクリックすると、代わりに.docm（マクロ有効化されたWord文書）などのファイルがダウンロードされます。その文書内でスクリプトが実行され、最終的なフィッシングページやマルウェアのペイロードがダウンロードされます。この多段階の手法により、初期段階での検知を回避しやすくなります。

PDFを使ったフィッシングが発見されにくい理由

PDFへの移行は、多くの組織にとって重大な盲点となっている。

• 検出の死角：多くの従来のメールフィルターは、テキストベースの分析に最適化されています。そのため、PDFのバイナリ構造を解析し、埋め込まれたリンクをすべて抽出し、さらにそれらのリンク先ページのコンテンツを分析することには苦労しています。
• URLの難読化は容易です：攻撃者はURLを簡単に難読化できます。リンクを分割してJavaScriptで再構築したり、PDF内の非標準エンコーディングの背後にURLを隠したりすることが可能です。
• 「良性の」PDF問題：正規のマーケティング資料、ニュースレター、ビジネス文書は、リンクが埋め込まれたPDF形式で送信されることがよくあります。セキュリティツールは、信頼できる送信元からの無害なPDFと、なりすまし犯からの悪意のあるPDFとを区別しなければなりませんが、この作業には高度な文脈分析が求められます。
• 多段階の回避手法：スキャン時点では、悪意のあるURLが有効になっていない可能性があります。攻撃者は、セキュリティクローラーに対しては「現在メンテナンス中」といった無害なメッセージを表示するページを用意しておき、実際のユーザーに対しては、その直後にフィッシングサイトへリダイレクトするように仕向けることができます。

警告サイン：悪意のあるPDFを見分ける方法

従業員に懐疑的な姿勢を持つよう教育することは、最後の防衛線となります。従業員には、以下の点に注意するよう指導すべきです：

• 予期せぬ差出人：取引のない会社からの請求書、あるいは加入期間外の人事関連書類など。
• 一般的な挨拶文：PDFファイルが開いた際、お名前ではなく「お客様各位」や「ユーザーの皆様」といった表現で始まる場合があります。
• 緊急性と恐怖心：「アカウントが停止されます」や「至急のお支払いが必要です」といった表現は、フィッシング詐欺の典型的な手口です。
• ログイン情報の要求：信頼できる企業は、共有ドキュメントを表示するためにパスワードの入力を求めることはまずありません。
• リンクの不一致：パソコンで、PDF内のリンクやボタンにマウスを合わせ（クリックはしないでください）。PDFリーダーのステータスバーに、実際のリンク先URLが表示されます。もし「請求書を表示」といったテキストが表示されているにもかかわらず、リンク先が不審なスペルミスのあるドメイン（例：secure-login.company-update[.]com）を指している場合は、フィッシング詐欺です。
• 不審な要求：PDFファイルから機能の有効化、マクロの実行、または外部サービスへの接続の許可を求められた場合は、極めて警戒してください。

組織がPDFフィッシングを防止する方法

この脅威に対抗するには、先手を打った多層的な防御が必要である。

1. メール認証でセキュリティを強化する

ドメインのなりすましを防ぐため、電子メール認証プロトコルを導入してください。

• SPF（Sender Policy Framework）：どのサーバーがあなたのドメインからメールを送信することを許可するかを指定します。
• DKIM（DomainKeys Identified Mail）：メールにデジタル署名を付加し、改ざんされていないことを確認します。
• DMARC（Domain-based Message Authentication, Reporting & Conformance）：自ドメインからのメールを装ったメッセージがSPFまたはDKIMの検証に失敗した場合、受信サーバーに対してどのような対応を取るべきか（例：隔離または拒否）を指示します。これにより、攻撃者が信頼されているブランドを装うことが大幅に困難になります。

2. 高度な添付ファイルのサンドボックス化と分析を導入する

メールセキュリティゲートウェイは、単なるファイルスキャンにとどまらない機能を備えている必要があります。以下の機能を提供するソリューションをお選びください：

• PDFの解析とリンクの抽出：このツールは、PDFを安全な仮想環境（「サンドボックス」）で開き、埋め込まれたすべてのURL、ボタン、およびスクリプトを抽出して分析する必要があります。
• コンピュータビジョン：AIを活用したツールは、コンピュータビジョンを用いてPDF画像上のテキスト（QRコードやボタンなど）を「読み取り」、人間と同じように悪意のある意図がないか分析することができます。
• 行動分析：サンドボックスはすべてのリンクをクリックしてその行き先を確認し、最終的なランディングページを分析して、認証情報の収集の兆候がないか調べることができます。

3. 堅牢なURL保護機能を実装する

セキュリティツールが、最初のクリック以降も継続するリアルタイムのリンク保護機能を備えていることを確認してください。ユーザーがPDF内のリンクをクリックした場合でも、ソリューションは最新の脅威インテリジェンスに基づいてリンク先のURLを検証し、悪意のあるものである場合はアクセスをブロックする必要があります。

4. 従業員向けセキュリティ意識向上研修の継続的な実施

テクノロジーは万能薬ではありません。定期的かつ参加型の研修が不可欠です。

• フィッシング攻撃のシミュレーション：従業員に偽のPDFファイルが添付されたフィッシングメールを送信し、セキュリティ意識をテストするとともに、即座にフィードバックを提供します。
• 具体的なトレーニングモジュール：「クィッシング」の手口、PDF内のリンクにカーソルを合わせると表示される情報、および不審な添付ファイルの報告方法について具体的に解説するトレーニングを作成します。
• 明確な報告体制：従業員がワンクリックで不審なメールを簡単に報告できるようにする（例：Outlook内の「フィッシングを報告」ボタン）。

5. 積極的な脅威ハンティング

自社名や主要取引先の名称に類似した新規登録ドメインを監視してください。攻撃者は、攻撃キャンペーンを開始する直前にこうしたドメインを設定することがよくあります。また、従業員の認証情報を盗むことを目的とした偽のログインページがないか、オンライン上で自社ブランドを監視してください。

まとめ

PDFフィッシングは、広く普及しているファイル形式に対する私たちの信頼を悪用するため、手ごわい脅威であり、その脅威は拡大の一途をたどっています。攻撃者は、悪意のあるペイロードをメール本文から添付ファイルに移すことで、従来の防御策を回避し、慎重さを持つユーザーさえも騙す確実な手段を見出したのです。

この脅威に対抗するには、現代的な多層防御戦略が必要です。組織は、基本的なメールフィルタリングにとどまらず、高度な添付ファイル分析や予防的な脅威ハンティングに投資するとともに、全従業員が重要なセンサーとなるようなセキュリティ意識の浸透を図る必要があります。絶えず変化し続けるサイバーセキュリティにおける「猫とネズミの駆け引き」において、攻撃者がPDFなどの日常的なツールをどのように悪用するかを理解することは、強固な防御体制を構築するための第一歩であり、最も重要なステップです。

• について
• 最新記事

Ahona Rudra

ドメインとメールセキュリティのエキスパートPowerDMARC

AhonaはPowerDMARCのマーケティングマネージャーで、サイバーセキュリティのトピックについて5年以上の執筆経験があり、ドメインと電子メールのセキュリティを専門としている。ジャーナリズムとコミュニケーションの卒業後学位を取得し、2019年からセキュリティ分野でキャリアを固めている。

最新記事 by Ahona Rudra(全て見る)

• VPNセキュリティ入門：プライバシーを守るためのベストプラクティス - 2026年4月14日
• MXtoolbox レビュー：機能、ユーザー体験、メリット・デメリット（2026年） - 2026年4月14日
• IPレピュテーションとドメインレピュテーション：どちらが受信トレイへの到達率を高めるか？ - 2026年4月1日