PDF 解析ツール PDF Object Hashing：固有のオブジェクトを追跡する脅威検出ルールとは？

New PDF Tool to Detect Malicious PDF Using PDF Object Hashing Technique

2025/10/24 CyberSecurityNews — PDF の構造的なフィンガープリントを分析する、PDF Object Hashing と呼ばれる新しいオープンソース・ツールは、悪意の PDF を検出するために Proofpoint が開発したものだ。このツールを活用するセキュリティ・チームは、PDF ファイル内の固有のオブジェクト特性に基づいて、堅牢な脅威検出ルールを作成できる。PDF を悪用する脅威アクターの戦術である、マルウェアの配信／認証情報フィッシング／ビジネスメール詐欺 (BEC) 攻撃に対して、この革新的な技術が防御力を高める。

PDF Object Hashing が焦点を当てるのは、URL や Image オブジェクトなどの不安定な要素ではなく、ドキュメントの構造である。したがって、攻撃者が戦術を進化させている場合でも、特定の脅威グループへの帰属を可能にする。Proofpoint は、複数の脅威アクターを追跡するために、この技術を社内で開発したという。

メールベースのキャンペーンにおいて、依然として定番である PDF に埋め込まれるものには、マルウェアのダウンロード URL／フィッシングサイトにユーザーを誘導する QR コード／バンキングなどのブランドを模倣する偽造請求書などがある。

Proofpoint が指摘するのは、これらのファイルにより悪意の連鎖が始まり、RAT (Remote Access Trojan) の配布やデータ窃盗などが引き起こされる可能性である。

しかし、PDF フォーマットは、互換性のために無限のバリエーションを許すほど複雑である。具体的に言うと、URI を隠す暗号化ストリームからペイロードを隠す圧縮オブジェクトにいたる多様性のため、そこに埋め込まれた悪意の検出は困難を極める。

根本的な問題は PDF の柔軟性にある。いくつかの例として挙げられるものには、６種類の有効な空白タイプ／圧縮可能な相互参照テーブル／パラメータを相互に参照するオブジェクトなどがある。

暗号化により、さらに事態は複雑になり、悪意のリンクなどの詳細は隠蔽され、明らかにされるのは文書のスケルトンだけとなる。

従来からの署名を用いても、ハッシュやメタデータの僅かな変更で無効化されるため、これらの対策は通用しない。

しかし PDF Object Hashing は、この問題を解決するためにファイルのオブジェクト階層を解析して、Pages、Catalog、XObject/Image、Annotations/Link、Metadata/XML、Producer、Font/Type1 などを抽出する。

これらの要素は順番に連結され、実行ファイル用の imphash (実行ファイルのインポートハッシュ) に似た、安定したフィンガープリントにハッシュ化される。それにより、関連ファイルのクラスタリングが可能になるが、更新されたイメージなどのルアー固有の変更は無視される。

上記の図で Proofpoint が実証しているように、重複するハッシュが亜種間の関連性を明らかにするため、復号化を必要とせずに脅威ハンティングが支援される。

実際のキャンペーンを追跡してみた

Proofpoint は、このツールを用いて UAC-0050 を追跡した。このクラスターは、OneDrive を装った暗号化 PDF を使用して、ウクライナを標的とする脅威アクターのグループを示す。そこで用いられる悪意の PDF は、JavaScript を含んだ URL を介して NetSupport RAT を配信し、暗号化によりパーサーを回避する。

しかし、PDF Object Hashing のハッシュ化により構造上の類似性が明らかにされ、迅速なシグネチャ作成とペイロードのブロックが可能になった:

例：SHA256: ee03ad7c8f1e25ad157ab3cd9b0d6109b30867572e7e13298a3ce2072ae13e5

同様に、2025年5月から活動を開始した、インドを拠点とする攻撃者 UNK_ArmyDrive は、バングラデシュ省庁文書を装う PDF を、BEC のルアーとして使用している：

例：SHA256: 08367ec03ede1d69aa51de1e55caf3a75e6568aa76790c39b39a00d1b71c9084

Proofpoint が PDF Object Hashing で用いる手法が示すのは、PDF を悪用する脅威アクターたちの手口でもあります。PDF の柔軟な構造により、さまざまな機能と互換性が提供されますが、従来のハッシュやメタデータの検出が簡単に無効化されるという欠陥が生じています。その点、このツールはオブジェクト階層に着目して安定したフィンガープリントを作るため、ルアー部分の差分を無視しながら、亜種間の関連性を明らかにできます。よろしければ、PDF で検索を、ご参照ください。