怪しいPDFを開いてしまい、「ウイルスに感染したかも?」と不安になっていませんか?
PDFファイルは、請求書や契約書などとして日常的に使われる形式ですが、その信頼感を逆手に取ったマルウェア攻撃が増えています。
すべてのPDFが危険というわけではありませんが、特にリンク付き・QRコード付きのファイルには注意が必要です。開いたPDFに不審な点がある場合は、情報漏えいや遠隔操作の被害が進行している可能性もあります。
そこで本記事では、PDFにマルウェアが仕込まれる代表的な手口と、安全に確認・対処するための方法をわかりやすく解説します。
目次
PDFファイルに仕込まれるマルウェアの代表的手口9選
PDFファイルはビジネスや日常で広く使われる文書形式ですが、その汎用性の高さがかえって攻撃の温床にもなっています。実際に、PDFを悪用したマルウェア感染は年々進化しており、従来からある手口に加えて、2025年後半には新たな攻撃傾向が顕著になっています。
以下では、従来から使われてきた手口に加え、最近特に被害が増加している手法も含めて、危険度と悪用頻度の観点から優先順位付きで紹介します。
①QRコード付きPDF(Quishing)
メールの本文にはリンクを含めず、「添付PDF内のQRコードをスマホで読み取ってください」と誘導する手口です。Microsoft 365や金融系の偽ログインページへ誘導し、認証情報を盗みます。スマホという別デバイスを使わせることで、メールゲートウェイやPCのEDRによる検知を回避します。
②リンクや画像を使ったフィッシング
PDF内のリンクやボタン、画像から不正サイトに誘導する古典的手法です。「請求書」や「アカウント警告」を装い、クリックさせて偽ページに誘導します。「PDF=安全」という思い込みを突く点で、今でも非常に多く使われています。
③パスワード付きPDFによる検知回避
パスワードで保護されたPDFファイルは、ウイルス対策ソフトやメールサンドボックスでは中身を確認できません。攻撃者は別メールでパスワードを送るなどリアリティのある演出を行い、標的型攻撃や偽請求書の手口で多用しています。
④注釈・ストリームに不正コードやURLを埋め込む
PDFの注釈(コメント)やストリーム構造の中に、難読化されたJavaScriptやURLを隠す手法です。見た目は無害でも、開封と同時に悪性コードを呼び出す仕組みが埋め込まれていることがあります。
⑤悪意のあるコードやスクリプトの埋め込み
PDFのJavaScript機能を悪用して、マルウェアを起動させるコードを埋め込む手法です。近年は単体での感染よりも、「後続マルウェアの呼び出し用ローダー」として活用されることが多くなっています。
⑥JavaScriptを用いたPDFリーダー攻撃
Foxit ReaderやAdobe Acrobatなどのリーダーの脆弱性を突き、JavaScript経由で外部からコードを実行させます。成功すれば致命的ですが、OSやソフトの更新によって成功率は低下傾向です。
⑦PDFリーダーの脆弱性を狙ったエクスプロイト
主に0-day脆弱性や未パッチ環境を対象とした高度な攻撃です。自動でマルウェアを実行させられる一方、攻撃準備や成功率に課題があるため、APTや標的型攻撃に限定される傾向があります。
⑧埋め込みファイル・マクロの悪用
PDF内にWordやExcelなどのマクロ付きファイルや.exe形式を埋め込み、ファイル名を偽装して実行させる手法です。ユーザーの操作が必要なため検知されやすいものの、油断すると開かれてしまうリスクがあります。
⑨ファイルレス型マルウェア
ディスク上にファイルを残さず、メモリ上だけで活動するマルウェアです。検知が非常に困難ですが、PDF「単体」で完結する手口は少なく、通常は別のマルウェアと組み合わせて使われます。
PDFにマルウェアが含まれていないか確認する方法
PDFファイルは一見すると安全に見えることもありますが、内部にマルウェアが仕込まれている可能性を考慮する必要があります。ファイルの安全性を確認するには、専用ツールやサービスによる検査と、利用者自身による注意が重要です。
以下では、代表的な確認方法を紹介します。
ウイルス対策ソフトを使ってスキャンする
既知の脅威に対して有効な対策として、ウイルス対策ソフトでPDFファイルをスキャンする方法があります。リアルタイム保護が有効な場合は、ファイルを開いた段階でマルウェアが検出される場合もあります。
ただし、ファイルレス型やメモリ常駐型のマルウェアは検出が遅れる場合があるため、過信せず慎重な確認が求められます。
端末別のスキャン手順
使用している端末によって、スキャンの操作方法が異なります。以下を参考に、環境に合った方法で確認を行ってください。
- スキャンしたいPDFを右クリックします。
- 「Microsoft Defenderでスキャン」を選択します。
- 使用中のセキュリティソフト(例:Avira、Nortonなど)を起動します。
- 「カスタムスキャン」機能からPDFファイルを選択し、スキャンを実行します。
- Google Playから信頼性の高いウイルス対策アプリ(例:Bitdefender、Avastなど)をインストールします。
- アプリ内のファイルスキャン機能でPDFファイルを検査します。
iPhoneでは、ファイル単位でのスキャンに制限があります。iOSはアプリの構造が厳格に制御されているため、ウイルス対策アプリによる個別ファイルのスキャンには対応していません。
セキュリティアプリが提供する機能は、構成プロファイルの異常検知やフィッシングサイトのブロックなど、動作を監視するタイプの保護に限られます。
オンラインスキャナーを利用する
VirusTotalやInternxt Virus Scannerなどのオンラインスキャンサービスを利用すれば、PDFファイルを複数のセキュリティエンジンで一括検査できます。スマートフォンやタブレットでも利用可能で、ソフトのインストールが不要な点が利点です。
ただし、アップロードされたファイルはセキュリティ研究目的で保存・共有される場合があるため、機密情報や個人情報を含むファイルは使用しないよう注意が必要です。
不審な動作や内容に注意する
PDFファイルを開いた直後に、次のような異常な動作が見られた場合は、マルウェアに感染している可能性が高いと考えられます。
- 自動で別のアプリやブラウザが起動する
- 実行形式ファイル(.exeなど)のダウンロードを促される
- ページが空白、または文字化けした状態で表示される
- 「セキュリティアップデートが必要」と表示される
これらの異常が確認されたPDFファイルは、再度開かず、ただちに削除または隔離してください。調査のために保持する必要がない限り、誤って再実行するリスクを避けるためにも慎重な対応が求められます。
被害の拡大を防ぎ、感染経路や情報漏えいの有無、改ざんされたファイルの特定など、客観的な事実を明らかにするためには、マルウェア感染調査に対応した専門機関による調査が有効な手段です。
マルウェア付きPDFを開いてしまった場合の対処法
万が一、マルウェアの疑いがあるPDFファイルを開いてしまった場合は、被害を最小限に抑えるために、迅速で適切な初期対応が重要です。まずは以下の対応を優先的に行ってください。
- ネットワークからの切断
- 管理者または社内セキュリティ担当者への連絡
- ウイルス対策ソフトによるフルスキャン
- 使用中アカウントのパスワード変更
より具体的な手順や注意点については、以下の記事で詳しく解説しています。必要に応じた対処を判断するための参考としてご確認ください。
特に、業務用端末や機密情報を扱う環境で不審な挙動が見られた場合は、マルウェア感染や情報漏えいがすでに進行している可能性が高く、初期対応を怠ると社内ネットワーク全体への感染や二次被害の拡大につながるリスクがあります。
ウイルススキャンは初動として有効ですが、最近のマルウェアはファイルレス型やメモリ常駐型といった、検出が難しいタイプが多く、スキャン結果だけでは安心できません。
感染の原因や被害の全体像を正確に把握したい場合は、感染経路の特定・影響範囲の分析・情報漏えいの有無まで対応可能な「フォレンジック調査」の活用が効果的です。
フォレンジック調査とは
警察の捜査や裁判の証拠提出にも使われる高度な手法です。感染の原因、被害の範囲、改ざんや情報漏えいの有無など、一般的なツールでは確認できない情報を専門技術で解析することができます。
特に以下のような項目を対応することができます。
- 証拠となるデータ保全
- 感染経路の特定と被害範囲の把握
- 情報漏えいの有無や外部送信先の解析
- 調査報告書作成(インシデント対応や社内報告に活用)
- 今後の再発防止策の策定支援
専門家によるマルウェア感染調査や情報漏えい調査を通じて、早期に感染の有無や影響範囲を明確にすることが、被害拡大を防ぐためのもっとも有効な対応です。
PDFを安全に扱うための5つの予防策
マルウェアによる感染は、多くの場合、日常の油断や対策不足が原因となります。基本的な対策を継続的に行うことで、被害を未然に防ぐことが可能です。
以下の対策は、PDFファイルを安全に扱うために日常的に実施しやすい対策です。
①不明な送信元のPDFを開かない
送信元の確認が取れないメールに添付されたPDFや、SNS経由で届いたPDFファイルには注意が必要です。文面に信頼感があっても、差出人が不明であったり、内容に緊急性を強調する表現がある場合は慎重な判断が求められます。安全性が確認できるまでは、PDFを開かずウイルススキャンを行う対応が推奨されます。
②Adobe ReaderのJavaScript機能を無効化
Adobe Acrobat Readerには、PDF内のJavaScriptを自動的に実行する機能があります。便利な一方で、マルウェアを起動させる手段として悪用されることもあります。情報セキュリティを強化するために、JavaScriptの自動実行を無効に設定することをおすすめします。
- Adobe Readerを起動します。
- 「編集」→「環境設定」→「JavaScript」を選びます。
- 「Acrobat JavaScriptを有効にする」のチェックを外し、「OK」をクリックします。
③安全性の高いPDFリーダーを選ぶ
セキュリティ機能が不十分なPDFリーダーや、広告経由でマルウェアを配布するようなリーダーも存在します。信頼性の高い開発元によって提供され、継続的なアップデートが行われているソフトを選ぶことが重要です。
以下に、安全性と実績のあるPDFリーダーを紹介します。
- Adobe Acrobat Reader:保護モードが標準で搭載されており、継続的なアップデートが提供されています。
- Sumatra PDF:軽量で、JavaScriptを実行しない設計が採用されています。
- Foxit Reader:企業向けの管理機能が豊富で、詳細なセキュリティ設定が可能です。
PDFリーダーをインストールする際は、不要なソフトウェアが同時に導入されていないかも必ず確認してください。
④OSとPDFリーダーを最新状態に保つ
脆弱性を悪用する攻撃は、古いソフトウェアを使用している環境で発生しやすくなります。OSやPDFリーダーを最新の状態に保つことは、マルウェア対策の基本です。
WindowsやmacOSでは自動アップデートの有効化、PDFリーダーでは起動時に最新版を確認できる設定を取り入れてください。
⑤セキュリティソフトの導入
セキュリティソフトを導入することで、PDFファイルを含むさまざまなファイルに対してリアルタイム保護を行うことができます。不審な動作が検出された場合には、警告がすぐに表示され、感染の拡大を防ぐ対応が可能です。
無料版でも一定の保護効果は得られますが、業務用途や個人情報を扱う環境では、有料で高機能なソフトを使用するほうが安全性の確保につながります。
まとめ
PDFファイルは、ビジネス文書として非常に便利な一方で、攻撃対象としても利用されやすい形式です。とくに、ファイル自体へのマルウェア埋め込みや、PDF閲覧ソフトの脆弱性を突いた攻撃は、深刻なリスクを伴います。
感染を防ぐには、不審なファイルを開かないこと、JavaScriptの無効化、信頼できるPDFリーダーの使用など、日常的な対策を積み重ねることが大切です。
また、感染の疑いがある場合は、無理に対応を続けず、フォレンジック調査に対応した専門機関へ相談することで、感染経路の特定や情報漏えいの有無を正確に把握することが可能です。
よくある質問
対応内容・期間などにより変動いたします。
詳細なお見積もりについてはお気軽にお問い合わせください。
専門のアドバイザーがお客様の状況を伺い、概算の見積りと納期をお伝えいたします。
可能です。当社は特定の休業日はございません。緊急度の高い場合も迅速に対応できるように、365日年中無休で対応いたしますので、土日祝日でもご相談下さい。
もちろん可能です。お客様の重要なデータをお取り扱いするにあたり、当社では機密保持誓約書ををお渡しし、機器やデータの取り扱いについても徹底管理を行っております。また当社では、プライバシーの保護を最優先に考えており、情報セキュリティの国際規格(ISO24001)およびPマークも取得しています。法人様、個人様に関わらず、匿名での相談も受け付けておりますので、安心してご相談ください。
この記事を書いた人
デジタルデータフォレンジック
エンジニア
