PDFにウイルスが潜むことはある？安全に使うためのポイント

PDFは、請求書、履歴書、電子書籍、チケット、レポートなど、日々多様に利用されています。しかし、すべてのPDFが安全というわけではありません。中にはマルウェアに感染していて、こっそりスパイウェアをインストールしたり、ログイン情報を盗んだり、あなたのデバイスを乗っ取ったりするものがあります。さらに厄介なのは、多くの感染がバックグラウンドで静かに実行されるため、気づいたときにはすでに被害が発生していることが多い点です。

攻撃者がPDFを好むのは、無害を装い易いからです。メールフィルターをすり抜け、正規の書類に見え、多くの人は深く考えずに開いてしまいます。実際、メールを介した脅威の20％超がPDF添付を利用しており、フィッシング攻撃でマルウェアを配布する際に最も一般的なファイル形式になっています。

不安になるかもしれませんが、過度に神経質にならなくても安全は保てます。このガイドでは、感染したPDFがどのように機能するか、そして自分を守るために何ができるかをご説明します。

PDFにウイルスが含まれることはありますか？

あります。PDFはウイルスやその他のマルウェアを運ぶことがあります。PDFはテキストや画像だけのように見えても、スクリプト、リンク、マルチメディアを埋め込めます。この柔軟性こそが、攻撃者が無害そうなファイルに悪意あるコードを隠すために悪用する点です。

前述のとおり、人々は一般的にPDFを信頼しており、それが攻撃者にとって好都合です。PDFはJavaScriptを実行したり、隠れたコマンドを起動したり、PDFリーダーの脆弱性を悪用してシステムを侵害したりするようにプログラムできます。中には、アンチウイルス検知を回避することを目的とした隠しオブジェクトや暗号化されたオブジェクトを使い、ファイルを開くまで休止状態で潜むものもあります。

PDFが感染する一般的な手口

すべてのPDFマルウェアが怪しく見えるわけではありません。実際、悪意あるPDFの中には、スキャンした請求書、内定通知、電子書籍、搭乗券など、まったく無害に見えるよう設計されたものもあります。しかし内部では、攻撃者が以下のようなものを埋め込むことができます。

• JavaScriptベースの攻撃： 一部のPDFには、ファイルを開いた瞬間に実行される埋め込みJavaScriptが含まれています。これはマルウェアをダウンロードしたり、フィッシングサイトへ誘導したり、PDFリーダーの脆弱性を悪用したりできます。
• 埋め込みファイルや実行ファイル： 攻撃者は.exeや.batスクリプトなどの別ファイルをPDF内に隠すことができます。もし開くよう誘導されれば、その場でマルウェアを起動させる恐れがあります。
• エクスプロイトキット（ハッキングツール）： PDFは、古いPDFリーダーに存在する既知のセキュリティ欠陥を突くように設計されていることがあります。ソフトウェアが更新されていないと、悪意あるPDFがその抜け穴を利用してトロイの木馬やスパイウェアをインストールします。
• フィッシングリンク： すべての攻撃がコードに依存するわけではありません。中には、偽のログインフォームを表示したり、マルウェア配布サイトへのリンクをクリックさせたりするためだけに使われるPDFもあります。
• ソーシャルエンジニアリング： PDF自体は悪意がなくても、「マクロ」や「拡張コンテンツ」のような機能の有効化を促す場合があります。これらのプロンプトはAdobe AcrobatなどのPDFリーダーでファイルを開いたときに表示されることがあり、承認すると本当の攻撃が始まることがあります。

PDFを開かずにデバイスが感染することはありますか？

ここは少し複雑です。ほとんどの場合、PDFは開かなければデバイスを感染させません。ダウンロードフォルダーにファイルがあるだけでは、通常、攻撃は発動しません。

とはいえ、例外もあります。いくつかのメールアプリやファイルエクスプローラー（MacのFinderやWindows Explorerなど）はPDFを自動プレビューします。もしプレビュー機能にバグがあれば、クリック不要で悪意あるコードが実行される可能性があります。 ただし、こうした「ゼロクリック」攻撃はまれで、主に著名人を狙うスパイウェアの標的型攻撃で使われ、一般ユーザーが狙われることは多くありません。

ほとんどの状況では、悪意あるPDFを開くか、何らかの操作をしない限り攻撃は発動しません。しかし、一度ファイルを開いてしまい、PDFリーダーやシステムの脆弱性を突くよう設計されていた場合、事態は急速に悪化し得ます。

悪意あるPDFを開くと何が起きますか？

悪意あるPDFを開いても、必ずしも劇的なことが起きるわけではありません。静かに実行されることもあります。何が起きるかは、中に潜むマルウェアの種類や、そのファイルが悪用を狙う脆弱性があなたのシステムに存在するかによって変わります。

悪意あるPDFができることの例：

• 隠しスクリプトを実行： 悪意あるPDFには、開いた瞬間に実行されるJavaScriptが含まれていることがあります。これらのスクリプトはマルウェアをダウンロードしたり、リモートサーバーに接続したり、システムを静かに改ざんしたりします。Adobeは、PDFがユーザーに気づかれずに隠れたアクションを実行できることを確認しています。
• フィッシングサイトへリダイレクト： 一部のPDFは、クリックやちょっとした操作をした瞬間にリンクを開きます。ログインページや請求ポータルのように見えるかもしれませんが、実は資格情報を盗む罠です。
• ソフトウェアの脆弱性を悪用： 古いAdobe Reader、Foxit、その他のPDFアプリを使っている場合、感染ファイルが既知のバグを突いて悪意のコードを実行することがあります。多くのトロイの木馬やスパイウェアはこうして侵入します。
• リモートアクセスツールを有効化： 感染したPDFの中には、誰かがあなたのシステムを操作できるようにリモートアクセスツールをインストールするものもあります。標的型攻撃でよく見られますが、一般ユーザーが完全に無関係というわけではありません。

多くの攻撃は目に見える兆候を残さないため、ユーザーは自分のシステムが侵害されたことに気づかない、あるいは気づいたときには手遅れ、ということがよくあります。

PDFをウイルスやマルウェアからスキャンする方法

前述のとおり、PDFは見た目が怪しくなくても危険であることがあります。だからこそ、開く前にスキャンするのが賢明です。特に、差出人が不明な場合、怪しいメールから来た場合、あるいはアカウントが乗っ取られた可能性のある信頼できる相手から届いた場合などはなおさらです。

なお、開く前のスキャンは、ドキュメントにパスワード保護がかかっていない場合にのみ可能です。保護されている場合は、いったんパスワードを入力してロックを解除した上でスキャンする必要があります。パスワード保護されたPDFに強い疑念があり、その正当性を確認できない場合は、削除するのが最善です。

以下は、安全にPDFをスキャンする方法です。

開く前にPDFをチェックする手順（ステップバイステップ）

ステップ1：PDFのメタデータと送信者情報を確認する

まずは基本的な確認をしましょう。以下をご覧ください。

• 送信者のメールアドレス： 綴りの誤りや怪しいドメインに注意（例：invoice@secure-payments-12822.com）。
• ファイル名： 書類.pdfや履歴書_最終.pdfのような一般的な名前は、フィッシングでよく使われます。
• ファイル内のメタデータ： PDFinfoやExifToolのようなツールでPDFメタデータを確認できます。以下のような点をチェックしましょう：

• 著者名が欠落している、または「admin」「user」のような一般的な名前になっている。
• ファイルの目的と一致しない作成ツール（例：「履歴書」がPDFプリンターや不明なソフトで作成されている）。
• 送信時期と合致しない作成日時。
• タイトルが空白、奇妙なキーワードなど、不自然なフィールド。

この例では、Producerフィールドに「Skia/PDF m136 Google Docs Renderer」とあります。これはGoogleドキュメントで作成されたため、妥当です。しかし、著者情報の欠落や不自然な作成ツールなどファイルの入手元と一致しないメタデータを見た場合は、注意して進めてください。

ステップ2：オンラインPDFスキャナーで素早く検出する

多数のアンチウイルスエンジンでファイルをスキャンしてくれる無料のオンラインサービスがいくつかあります。

• VirusTotal
• Jotti’s Malware Scan
• MetaDefender Cloud

PDFをこれらのプラットフォームにアップロードしましょう。既知のマルウェアをスキャンし、怪しい点があれば警告してくれます。スキャンする前に絶対に開かないでください。また、メールから直接ドラッグしないこと（Chromeでは、誤って開いてしまうドラッグ動作になりがちです）。まず安全のために一度ダウンロードしてからスキャンしましょう。

ステップ3：ローカルのアンチウイルスでPDFをスキャンする

すでにアンチウイルスソフトを使っているなら（使うべきです）、開く前に手動でスキャンしてください。

• ファイルを右クリックし、「（ご利用のアンチウイルスソフト）でスキャン」を選択。
• スキャン結果を確認。たとえ「問題なし」と表示されても、用心は怠らないでください。検知を回避するマルウェアも存在するため、他に不審な点があるファイルは開かないでください。

マルウェアが既知の手法を使っている、あるいは検知可能な有害コンテンツを含んでいる場合、アンチウイルスはPDFの脅威を見つけやすくなります。

PDFスキャナーがウイルスを検出したらどうするか

スキャナーがPDFにフラグを立てました。 もし感染と表示されたら、開かずに削除してください。すでに開いてしまい、スキャナーが有害だと確認した場合は、すぐにそのファイルの使用を止めましょう。多くのマルウェアは大きな挙動を見せず、バックグラウンドで静かに動作し、すべてが正常に見える間に被害を与えます。

事態を悪化させないよう、次の対処を行ってください。

陽性検出後に取るべきステップ

悪意あるPDFを安全に削除または隔離する方法

多くのアンチウイルスにはファイルを隔離する機能があります。利用できるなら使いましょう。そうでなければ、すぐに削除してゴミ箱を空にしてください。「念のため」といって保管しないでください。

クイックチェックリスト：

• ファイルを開かなかったか？ （していなければ、それは良いことです。）
• 共有や転送をしなかったか？ （さらに良いです。）
• クラウドフォルダーや同期バックアップに紛れていないか？ 念のため確認しましょう。

念のため、システム全体のスキャンを実行してください。他の脅威がすり抜けていないかを確認します。たとえファイルを開かなかったとしても、何らかの形で侵入していないかチェックするのは賢明です。

悪意あるPDFから身を守る方法

最良の防御方法は、 怪しいPDFを開かないことです。言うは易しですが、習慣づけることで大いに改善できます。サイバーセキュリティの専門家である必要はありません。懐疑的な姿勢を持ち、セキュリティ設定を最適化しておけば十分です。

不明な出所のPDFをダウンロードしない

多くの人がつまずくのはここです。差出人不明のメール、「無料」テンプレート、流出文書など。出所が不明なら、ダウンロードは避けましょう。見た目がきれいでも、PDFがマルウェアを運ぶことはあります。実行ファイル（.exe）のように明らかな警告を、多くのユーザーに対してPDFは発しません。

PDFの送信者を必ず確認する

受信箱にPDFが届いたら、 開く前に自問してください。

• 相手を知っているか？
• メールは正規か（奇妙な文字やドメインはないか）？
• ファイルを受け取る予定があったか？

少しでも違和感があるなら、たとえ知人から届いたものであっても開かないでください。相手のアカウントが乗っ取られているかもしれません。罠だったと判明するより、確認して安全を確保するほうが良いのです。

PDFリーダーのJavaScriptを無効にする

多くの人はPDFがスクリプトを実行できることを知りませんが、実際に可能です。そして攻撃者はそれを悪用します。JavaScriptはフォームやインタラクティブな機能を支えますが、最悪のPDF攻撃の多くもこれが原因です。そうした機能を必要としない（多くの人は必要としません）場合、JavaScriptをオフにするのは最も簡単な防御策のひとつです。

ここでは、人気のある2つのリーダー（Adobe AcrobatとFoxit）の設定方法を紹介します。なお、Chromeの既定ビューアでPDFを開いている場合、JavaScriptを無効化する方法はありません。ただし、Chromeは非常に基本的なJavaScript機能しか許可せず、サンドボックスを使用しているため、比較的安全です。

Adobe Acrobat Readerの場合：

1. Edit（編集） > Preferences（環境設定）に移動します。
   
2. JavaScript を選択し、Enable Acrobat JavaScript（Acrobat JavaScriptを使用） のチェックを外します。
   

Foxit Readerの場合：

1. File（ファイル） > Preferences（環境設定） に移動します。
   
2. 次に JavaScript を選択し、Enable JavaScript Actions のチェックを外します。
   

PDFのJavaScriptがセキュリティリスクである理由

ブラウザー内のJavaScriptはサンドボックス内で実行されます。つまり、権限に制限があります。さらに最新のPDFリーダーには特権付きと非特権の2つのJavaScriptコンテキストがあり、PDFがアクセスできるのは非特権側のみです。これは通常、PDFファイルが有害な変更を行うのを防ぎます。

しかし、一部のPDFリーダー、特に古いものには、悪意あるスクリプトが制限なく実行され、システムに損害を与える脆弱性が存在します。

JavaScriptは次のような目的に使われることがあります。

• ドキュメントを開いた瞬間に、しばしばユーザーに気づかれないまま悪意あるコードを実行する。
• 脆弱なリーダーで開かれた場合、データの窃取、マルウェアのインストール、システム上のファイルの改ざんを行う。
• コードを隠蔽・難読化して検知を回避し、アンチウイルスがフラグを立てにくくする。

攻撃者はこれらの性質を悪用し、見た目は無害でも裏で悪意ある動作を行うPDFを作成します。さらに、PDFリーダーによってJavaScriptの扱いが異なるため、より脆弱なものも存在します。

そのため、インタラクティブなフォーム、デジタル署名、埋め込みメディアなどで本当に必要な場合を除き、JavaScriptを無効にすることが広く推奨されます。迷うなら、オフのままにしておきましょう。

ソフトウェアとOSを常に最新に保つ

ソフトウェアを最新に保つことで、悪意あるPDFが既知の脆弱性を悪用するリスクを下げられます。多くの攻撃は、更新されていないPDFリーダー、ブラウザー、OSに存在する古いバグに依存しています。

自動更新をオンにし、セキュリティパッチは公開されたらすぐに適用しましょう。更新以外の自衛にも関心があるなら、無料サイバーセキュリティ講座でオンラインの安全対策スキルを強化するのも有効です。

セキュリティパッチがPDFの悪用を防ぐ仕組み

PDFが悪意あるコードを実行できてしまうような新たな脆弱性が発見されるたび、PDFソフトウェアの提供元は修正を急いでリリースします。これらの修正はアップデートで配信されます。

更新を怠ると、脆弱性が公開された後も長くシステムが無防備なままになります。攻撃者は未修正のシステムを探しに来るのです。あなたがその標的にならないようにしましょう。

悪意あるPDFを報告する方法

疑わしい、または悪意が確認されたPDFを見つけたら、削除して終わりにしないでください。特に公開リンク、メール、他者も使うプラットフォーム経由で届いたものであれば、報告することで拡散を防ぐ助けになります。

悪意あるPDFをGoogle セーフブラウジングに報告する

もしファイルがリンク経由、たとえばウェブサイトやGoogle Driveから届いた場合は、そのURLをGoogle セーフブラウジングに報告できます。これにより、後で同じリンクをクリックするかもしれない他のユーザーに警告する助けになります。

手順：

1. Google Safe Browsing Reportにアクセスし、疑わしいURLを貼り付けます（ファイル自体ではなく、そのリンクのみ）。
   
2. 「I’m not a robot」にチェックを入れます。
   
3. Categoryから理由を選択します。
   
4. リンクが何を装っていたか、どこで見つけたかなど、補足情報があれば追加します。
   
5. Submit Report をクリックします。
   

十分な人数から同じリンクの報告があれば、GoogleはChromeやセーフブラウジング保護を利用する他のブラウザーでそのリンクをブロックできます。

PDFのウイルスサンプルをアンチウイルス提供元に送る

アンチウイルス企業は、検知精度を高めるためにユーザーの報告に依存しています。ファイルにフラグが立った（あるいはすり抜けた）場合は、分析のために提供元へ送付しましょう。

各社のアップロード手順に従ってください。中には、パスワード「infected」や「virus」を付けたZIP形式での提出を求める場合があります（自分で開かず、そのままアップロードしてください）。フラグが立たなかったファイルでも、提出することで他者向けの検知精度向上に貢献できます。

セキュリティツールは、共有された脅威データベースに頼ることがよくあります。悪意あるファイルをアップロードすることで、各社は検知エンジンを強化し、今後のスキャンで類似の脅威により早くフラグを立てられるようになります。もしあなたのアンチウイルスが見逃していたなら、その提出が防御をすり抜ける新たな手口を他社に警告するきっかけになるかもしれません。

PDFはフィッシング攻撃で一般的に使われますか？

はい。PDFはフィッシングに最適です。無害に見え、人々が信頼し、明らかな脅威を検知するフィルターをすり抜けます。

「請求書」「支払い」「緊急」などのラベルが付いたファイルを、心当たりがないのに受け取ったことがあるなら、それはおそらくフィッシングの試みでしょう。

PDFがフィッシングであることを示すサイン

多くのフィッシングPDFは非常にそれらしく見えます。しかし、次の点に注意してください。

• 一般的で曖昧なタイトル：「重要事項」や「口座明細_2024.pdf」のような名前は、焦ってクリックさせるために作られています。
• 予期しない送信者：銀行、配達会社、人事などを装うケースがよくあります。
• PDF内のログインページ：正当なファイルが資格情報の入力を求めることはまれです。
• 不審なリンク先：クリック前にリンクへマウスオーバーして確認を。奇妙なURLに飛ぶ、または名乗っている企業と一致しない場合は赤信号です。
• 綴りの誤りや不自然な体裁：多くのフィッシングPDFには誤字脱字やミスがあります。これは、最も脆弱な人だけを引っかけるため、そして彼らが通報や損害賠償を追求しにくいという心理を突く、意図的な戦術であることもあります。

疑わしいPDFを受け取ったときの対処

少しでも「おかしい」と感じたら実行してください。

1. まずスキャン：信頼できるオンラインスキャナー（VirusTotalなど）で開く前にチェックしましょう。
2. フラグが立ったら削除：確認のためにも開かないでください。即座に削除しましょう。
3. 知人から届いた場合は本人確認：ただし同じメールに返信せず、新規メールや別の信頼できる手段で連絡してください。
4. メール経由なら報告：ほとんどのメールプロバイダにはフィッシング報告機能があります。
5. 削除：「念のため」にとっておかないでください。

PDFフィッシング攻撃を未然に防ぐ方法

見分けるだけでなく、最初から狙われにくくすることが重要です。

• フィッシング対策付きの強力なスパムフィルターを使うこと。ほとんどのメールアプリにはフィルター機能が組み込まれています。設定を確認して、高度なフィルタリングや安全な送信者リストを有効にしましょう（職場アカウントでは、IT部門によって追加の保護が設定されている場合があります）。
• たとえ正当なものに見えても、予期しない添付ファイルは開かない。
• PDFリーダーのJavaScriptを無効にする。
• 慌てない。フィッシング詐欺は「急がせる」ことで成功するため。

フィッシングを見分ける力を高めたい場合は、ExpressVPNのフィッシング詐欺の見分け方ガイドが役立ちます。ブックマークしておく価値があります。

また、知っておくべき一般的な詐欺10選をチェックして、フィッシングを含むさまざまな手口を学びましょう。

サイバーセキュリティの全体像を知りたい場合は、サイバーセキュリティとは何か、なぜ重要なのか、を解説したクイックガイドもおすすめです。

疑わしいPDFを開いてしまったときの対処法

正当なPDFに見えて開いたけれど、不安になってきた―そんなときも慌てないでください。すぐに行動すれば、被害を最小限に抑えられます。

開いてしまった直後に取るべき行動

1. インターネット接続を切る：怪しい挙動があった場合、通信を遮断することでデータの送信を防ぎます。Wi-Fiをオフにするか、ケーブルを抜いてください。
2. 重要なファイルをバックアップする：最悪の事態に備えて、データの安全なコピーを作りましょう。外付けドライブやクラウドストレージに保存します。特に個人情報や仕事関連のデータは優先的に。
3. フルスキャンを実行する：ウイルス対策ソフトでシステム全体をスキャンし、スパイウェアやトロイの木馬を検出します。
4. パスワードを変更する：ログイン情報を入力してしまった場合はすぐに変更を。強力で一意のパスワードを使用し、ExpressVPN Keysのようなパスワードマネージャーで安全に保管しましょう。
5. 個人情報の監視を行う：個人情報を入力した場合は、信用情報機関に「不正利用警告（Fraud Alert）」を出すことを検討してください。米国では無料で、Experian・TransUnion・Equifaxのうち1社に連絡すれば他社にも共有されます。今後の追加保護として、ExpressVPN Identity Defender（米国のみ対応）のようなツールを使えば、データ漏洩の監視と早期対応が可能です。米国外にいる場合は、自国の消費者保護機関や信用情報サービスを確認しましょう。多くの国で類似の仕組み（不正警告・信用凍結など）が提供されています。

スマートフォンで開いてしまった場合、Androidのマルウェア削除方法はこちらを参照してください。