セキュリティ研究者たちは、特別に細工されたPDFファイルを利用した、Adobe Readerを標的とするアクティブなゼロデイエクスプロイトを発見しました。**EXPMON**のHaifei Li氏によって特定されたこのエクスプロイトは、これまで知られていなかった脆弱性を悪用する洗練された攻撃として説明されています。 ### 発見と分析 「Invoice540.pdf」と名付けられた悪意のあるアーティファクトは、2025年11月28日に**VirusTotal**で初めて観測されました。2番目のサンプルは2026年3月23日に出現しました。ファイル名からは、ユーザーを開かせるためのソーシャルエンジニアリングの要素が示唆されています。 実行されると、PDFは機密情報を収集し、追加のpayloadをダウンロードするように設計された難読化されたJavaScriptコードをトリガーします。 ### 標的と手法 セキュリティ研究者のGi7w0rm氏は、PDFドキュメントにロシアの石油・ガス産業に関連する現在の出来事を参照するロシア語のルアーが含まれていると指摘しました。これは標的型キャンペーンを示唆しています。 Li氏によると、このエクスプロイトは初期侵入ポイントとして機能し、多様なデータ型を収集・漏洩する能力があり、Remote Code Execution (RCE) および Sandbox Escape (SBX) エクスプロイトにつながる可能性があります。 「このサンプルは、さまざまな種類の情報を収集・漏洩する能力を持つ初期エクスプロイトとして機能し、その後、リモートコード実行（RCE）およびサンドボックスエスケープ（SBX）エクスプロイトにつながる可能性があります」とLi氏は述べています。 ### 技術的詳細 この脆弱性により、**Adobe Reader**の最新バージョンでも特権的なAcrobat APIを実行できます。このエクスプロイトには、収集されたデータをリモートサーバー（169.40.2[.]68:45191）に流出し、実行のための追加のJavaScriptコードを受信する機能も含まれています。 このメカニズムは、高度なフィンガープリント攻撃を可能にし、コード実行やサンドボックスエスケープを達成するための追加のエクスプロイト配信を含む、さらなる悪用の道を開く可能性があります。 リモートサーバーが分析中に応答しなかったため、次のステージのエクスプロイトの正確な性質は不明のままです。これは、テスト環境がpayload配信の基準を満たさなかった可能性を示唆しています。 ### 行動喚起 「それにもかかわらず、広範な情報収集のためのこのゼロデイ/パッチ未適用の機能と、その後のRCE/SBXエクスプロイトの可能性は、セキュリティコミュニティが引き続き警戒を怠らないには十分です」とLi氏は述べています。 ### 更新 **Adobe**は、この脆弱性に対するセキュリティアップデート（**CVE-2026-34621**、CVSSスコア: 9.6）をリリースしました。詳細については、[こちらをご確認ください](https://thehackernews.com/2026/04/adobe-patches-actively-exploited.html)。