Google広告で拡散 一見無害に見える悪質なPDF編集ソフトに要注意：セキュリティニュースアラート

Truesecは、不正なPDF編集ソフトを介して配布されているマルウェア「Tamperedchef」による大規模な情報窃取キャンペーンを報告した。広告を利用し、正規ソフトを装った手法によって複数の組織で被害が確認されている。

[後藤大地，有限会社オングス]

　Truesecは2025年8月27日（現地時間、以下同）、不正なPDF編集ソフトを利用した大規模なサイバー犯罪キャンペーンを観測したと発表した。問題となったソフトは「AppSuite PDF Editor」と呼ばれ、Google 広告を通じて広く宣伝されていた。利用者がこれをインストールすると、内部に仕込まれたマルウェア「Tamperedchef」が活動を開始し、認証情報やWebブラウザのCookieといった機密データを窃取する。

一見無害なソフトに後から不正な機能を追加　犯罪キャンペーンの詳細

　Truesecの分析によると、このキャンペーンは2025年6月下旬から展開されており、複数の関連Webサイトが確認されている。最初の段階ではソフトは通常のPDF編集ツールとして振る舞い、不審な挙動を示さなかった。しかし2025年8月21日以降、特定の条件下でアップデートが配布され、そこで初めて悪意ある機能が有効化されている。Tamperedchefがシステム内で永続化を実行し、Webブラウザを強制終了して内部データにアクセスするなどの動作が確認されている。

　今回の不正ソフトは複数のデジタル証明書によって署名されており、その発行元は「ECHO Infini SDN BHD」や「GLINT By J SDN. BHD」など少なくとも4社に及んでいた。Truesecの調査において、これらの会社の情報は表面的で、Webサイトの内容はAIで自動生成されている可能性があるという。証明書の利用履歴をたどると、過去にも「OneStart」や「Epibrowser」といったツールが配布されており、同じ攻撃者による活動の一環とみられている。

　技術的な分析において、インストール時にはレジストリに永続化のキーが追加され、起動時には更新チェックを装う通信が実行されることが確認されている。また「PDFEditor.exe」には多数の引数が設定可能であり、「--fullupdate」などが指定されると難読化されているファイルを読み込み、攻撃が本格化する仕組みであった。通信にはGoogle広告のキャンペーンコードが含まれており、攻撃者が広告配信を最大限活用して利用者を誘導したことがうかがえる。

　Truesecは今回の事例について、欧州の複数組織で従業員が誤ってソフトを導入し被害に遭ったことを確認したとしている。このように一見無害に見えるユーティリティーが後から不正な機能を追加する手口は、防御側にとって対応が困難だ。特に従来のセキュリティ製品では初期段階の挙動を検知しにくく、攻撃が実際に始まった時点では情報が奪われている危険が高い。

　Truesecは対策として、アプリケーション制御を実行する「AppLocker」や、広告を遮断するフィルタリングツールの導入を推奨している。これによって不審なソフトの実行や悪意ある広告経由の感染を防ぎやすくなるという。利用者自身が提供元不明の無料ツールを安易に導入しないことも被害防止には欠かせない。

　今回の報告は、攻撃者が長期間にわたって活動を継続し、新たな手法を取り入れながら攻撃規模を拡大している現状を示している。Truesecは今後もこうした不正ツールの監視を続けるとし、利用者や組織に対し疑わしいソフトや広告を発見した場合には迅速にGoogleや各国のCSIRTに通報するよう呼びかけている。