PDFファイル添付メールに注意!フィッシング詐欺やマルウエア感染の危険性
公開日:
※当サイトはアフィリエイトプログラムを利用しています。
「PDFで送ります」は、今やビジネスの標準語。
だからこそ攻撃者にとっても、最も自然に人を騙せる入り口になっています。
添付PDFの中にだけ罠を仕込むことで、セキュリティ対策や人間の警戒心をすり抜けようとしています。
しかも、経理・総務・営業など、仕事でいつもPDFを開くという人ほど狙われやすいのが特徴です。
この記事では、PDFフィッシングがなぜ増えているのか、どんな手口があるのか、そして被害を防ぐために何を確認すべきかを具体例つきで解説します。
PDFファイルが狙われる理由
攻撃者はメール本文ではなく、わざわざ添付ファイルであるPDFにこだわるのでしょう。
メールフィルターをすり抜けるため
Eメールゲートウェイなど最近のセキュリティ対策は、メール本文に「サインイン」「パスワードの変更」「重要:アカウントが凍結されました」といったフィッシング特有のキーワードや、ブラックリストに載っているURLが含まれていると、自動でスパム判定となります。
しかし、それらをPDFという画像やオブジェクトがカプセル化されたファイルの中に閉じ込めることで、テキストスキャンによる自動検知を難しくさせられるんですね。
公式文書という心理的セーフティネットの悪用
一般的に、メール本文のテキストリンクは怪しいと警戒されやすいですが、PDF化された請求書、受領書、法的通知などになると、人間は無意識に「公式な手続きを踏んだ正しい文書」だと錯覚しがち。攻撃者はこの心理的隙を突いています。
先日アップしたこちら
SVGファイル添付メールに注意!画像ファイルのフリをしたメールフィッシングの危険性
SVGファイルがメールに添付されていたら、あなたも「?」と思うでしょう。
画像編集でもしない限り、日常的にやりとりするファイルではないからです。
「PDFで送ります」がビジネスの標準語になって久しく、受け取ること自体に誰も疑問を持ちません。
その「当たり前」が、攻撃者にとっての武器になっているのです。
「PDFが届いた=確認すべき業務」を悪用
PDFは安全という思い込みは、もう通用しません。
IBMのX-Force脅威インテリジェンスレポート2025によると、フィッシングメールの悪性添付ファイルとして、PDFは.zipファイルを抜いてトップに躍り出ました。
2024年には悪性添付ファイル全体の35%をPDFが占めています。
手口も進化しています。2025年5〜6月にCisco Talosが分析したPDF添付フィッシングでは、最も多く偽装されたブランドはMicrosoftとDocuSign。
PDF内にQRコードを埋め込み、偽のMicrosoft 365ログイン画面へ誘導するキャンペーンが大量に確認されました。
さらに悪質なのがDocuSignのAPI悪用です。攻撃者は正規のDocuSignアカウントを取得し、APIを使って偽の請求書を大量送付。
DocuSignの本物のサーバーから届くため、スパムフィルターをそのまま通過します。
Norton、PayPalなど信頼性の高いブランドを偽装した請求書が使われていて、受け取った側が疑いを持ちにくい設計になっています。
リモートワークが定着し、請求書や契約書のやりとりがメールだけで完結する職場が増えた今、この手口はより有効に。
攻撃者は技術的な脆弱性だけでなく、業務フローに組み込まれた人間の行動心理(ソーシャルエンジニアリング)を巧みに突いているのです。
PDFフィッシングの主な2大パターン
手口を明確に2つに分類し、それぞれの危険の本質を見ていきましょう。
パターンA リダイレクト・認証情報窃盗型
仕組み
届いたPDFを開くと、1ページだけのシンプルな画面やモザイクがかかった文書の背景が表示され、中央に「ドキュメントを表示するには、ここをクリックしてMicrosoft 365でサインインしてください」といったボタンやリンクが配置されています。
仕掛け
PDF内のテキストや画像に、フィッシングサイトへのリンクが埋め込まれているんですね。
これをクリックするとブラウザが起動し、本物そっくりの偽ログイン画面に飛ばされ、ID・パスワード、あるいは二段階認証コードまで盗み取られることに。
特徴
マルウェアではないリンク入りPDFのため、ファイル自体のウイルススキャンを検知されずに通過することが非常に多い。
パターンB マルウェア感染・エクスプロイト型
仕組み
PDFファイルそのものに、不正なコードや悪意ある命令が仕込まれる。
PDF閲覧ソフトの脆弱性を突くもの、JavaScriptを悪用するもの、外部ファイルを自動ダウンロードさせるものなど手口はさまざまで、閲覧ソフトが古い場合やJavaScript実行が許可されている環境では特に危険度が上がります。
仕掛け
ユーザーがPDFを開いた瞬間や、PDFを開いた際に出るポップアップで「許可」を押した瞬間に、裏で自動的にマルウェアがダウンロード・実行されます。
特徴
ユーザーが「怪しいURLをクリックして、自分でパスワードを入力する」というステップを踏まなくても、ファイルを開いただけで被害に遭う可能性があるため非常に危険。
シーン別シナリオ
具体的な文面テンプレートやシチュエーションです。
どちらも実際のメールは持ち合わせていませんので、Geminiにそれっぽく作ってもらいました。
ビジネス編 「請求書」や「見積依頼」
英語ベースの国際ビジネス詐欺(BEC)だけでなく、最近は完全に日本語化されたものが増えていますので注意が必要です。
☝️総務や経理、営業担当者は日常的にPDFの請求書を開くため、業務のルーティンに紛れ込ませることで、深く考えずにダブルクリックさせます。
日常インフラ編 「e-Taxの未納通知」や「配送トラブル」
特定の企業や担当者を狙うビジネス詐欺と異なり、こちらは不特定多数の一般消費者を標的にした手口です。
☝️ 「差し押さえ」「未納」という強い言葉でユーザーをパニックに陥れ、冷静な判断力を奪ってPDFを開かせ、中にある偽の「支払いサイト(フィッシング)」へ誘導します。
PDFフィッシング被害を防ぐための具体的な対策
今日からできる実践的な対策を掲載して終わります。
表示名ではなくメールアドレスのドメインを徹底確認
送信者が国税庁や取引先名になっていても、メールアドレスが「@gmail.com」だったり、全く無関係な海外ドメイン「.ru」や「.top」などになっていないかを確認する。
PDFを開いた後のボタンやサインイン要求は100%疑う
PDFファイルを開いたのに、閲覧するために別のサイトへのログインを求められるというのは、通常の運用ではあり得ません。その時点でブラウザを閉じ、ファイルを削除する。
ビューアーの自動実行設定のオフとアップデート
Adobe Acrobat Readerなどの設定で「JavaScriptを実行する」のチェックを外しておく。また、脆弱性を突く攻撃(パターンB)を防ぐため、ソフトのアップデート通知が出たら放置せず、すぐに最新状態にする。
不審な場合は別ルートで確認
メールの返信ボタンは使わず、あらかじめ登録してあるブックマークや、知っている電話番号から「本当にこのPDFを送りましたか?」と確認を取る。
あわせて読みたい
フィッシング被害に遇ったら?フィッシングを防ぐ確実な方法とは