PDF/QR Code を武器化:Microsoft/DocuSign/Dropbox などを装うフィッシング攻撃に要注意

Threat Actors Weaponize PDFs to Impersonate Microsoft, DocuSign, Dropbox and More in Phishing Attack

2025/07/03 CyberSecurityNews — PDF 添付ファイルを攻撃手段とする、サイバー犯罪が大幅に増加している。この信頼性の高いドキュメント形式を悪用する脅威アクターたちが、Microsoft/DocuSign/Dropbox/PayPal/Adobe といった大手ブランドを装い、巧妙なフィッシング攻撃を展開している。それらの攻撃は、PDF ドキュメントに対してユーザーが抱く、広範な信頼を悪用するものであり、本来は安全であるはずのファイル共有手段が、認証情報の窃取や金融詐欺の入口として機能している。

これらの攻撃を複数の手法で実行する攻撃者は、従来のメール・セキュリティ・フィルターを回避するために、フィッシング・メールの要素を PDF 添付ファイルに埋め込む。

具体的に言うと、ブランドロゴ/偽の請求書/虚偽のコンテンツを PDF ファイル内にダイレクトに埋め込む攻撃者は、通常なら疑わしいメール内容を検出するはずの、テキスト分析システムを回避していく。

PDF はポータビリティに優れており、多種多様なプラットフォームやデバイスにおいて、巧妙にブランドに成りすます手段として理想的なものである。

これらの攻撃は、単純なメール・フィッシングから進化し、TOAD (telephone-oriented attack delivery) を取り入れるようになっている。この TOAD により配信される PDF 添付ファイルは、偽の請求書や電話番号が埋め込まれたセキュリティ・アラートなどの形式をとっている。

Cisco Talosのアナリストたちが確認した事例において、このようなソーシャル・エンジニアリングを実施する攻撃者は、匿名性を維持するために VoIP (Voice over Internet Protocol) 番号を使用している。

これらのキャンペーンの地理的な広がりは、世界全体に及んでいるという。2025年5月5日〜6月5日までの調査期間中において、研究者たちが注目したのは、米国のユーザーが集中的に標的とされていることである。

彼らの分析結果によると、最も頻繁に偽装の対象とされたのは Microsoft/DocuSignがあり、TOAD ベースの攻撃で最も悪用されたのは、NortonLifeLock/PayPal/Best Buy-Geek Squad であった。

QR コードの統合および PDF 注釈の悪用

これらのキャンペーンにおける最も巧妙なテクニックは、PDF 添付ファイル内に埋め込まれた QR コードを戦略的に悪用し、多層的な欺瞞メカニズムを構築する手法である。

A QR code phishing email impersonating the Microsoft brand (Source – Cisco Talos)


正当に見えるブランドの通信内容の横に、QR コードを配置する攻撃者は、被害者にコードのスキャンを促す。スキャン後の被害者は、認証情報の収集を目的とするフィッシング・ページへとリダイレクトされるが、そこは CAPTCHAで保護されている。

Cisco Talos の研究者たちが確認したのは、 PDF 注釈を悪用して文書の正当性を維持する脅威アクターが、悪意の URL を隠蔽している事例である。

分析されたサンプルにおいて、攻撃者たちは PDF 注釈内に複数の URL を埋め込んでいた。その中の1つは、https://eu1.documents.adobe [.] com/public/ という正当な URL に見えるが、もう1つの注釈に埋め込まれた URL は、フィッシング・サイト https:// schopx [.] com/r であった。

この手法により、それらの QR コードが、信頼できるサイトにリンクすると錯覚した被害者は 、信頼感を高めた状態で、隠された注釈により悪意のエンドポイントへと誘導されていく。

この悪意の手法は、Adobe の電子署名サービスにも影響を与えており、フィッシング文書全体が、Adobe の正規インフラを通じてアップロード/配布されている。

その一方で、PayPal を装った事例は、”Apple iPad Air 11 inch Wi-Fi 256GB-Blue $699″ という請求書を装っていた。取引 ID は “08345049MC0STO958308328” であり、コールバック番号は +1 (820)-206-4931 であった。

TOAD attack sequence (Source – Cisco Talos)

これらの事例が示すのは、ブランドの成りすます攻撃者が、QR コードを階層化させる手法である。また、この攻撃シーケンスが明らかにしたのは、最初のメール受信と被害者による操作から、悪意のファイルのダウンロードに至るまでの、TOAD による一連の攻撃プロセスとなる。

安全なファイル形式と信じてられている、PDF を悪用するフィッシング攻撃が急増しているようです。 PDF 独自の機能である注釈とQR コードを悪用する手口には、多くの人々が騙されてしまうでしょう。特に TOAD のような、電話を使う詐欺は心理面を攻めてきますね。大切なのは、心のゼロトラストです。よろしければ、Phishing で検索も、ご参照ください。