Last Updated on 2025-04-22 10:18 by admin
2025年初頭から、サイバー攻撃者がSVG(Scalable Vector Graphics)ファイルを悪用した新たなフィッシング手法を展開している。
この攻撃手法では、通常は画像を保存するために使用されるSVG形式にHTMLコードやJavaScriptを埋め込み、ユーザーをフィッシングサイトへ誘導している。
カスペルスキー社の研究者によると、2025年第1四半期だけで2,825件のSVG添付ファイルを使用したフィッシングメールが検出され、4月前半には1,324件と急増している。KnowBe4社の脅威研究チームによれば、2025年1月1日から3月5日までの間に分析されたフィッシングメールの添付ファイルのうち、SVGファイルが占める割合は6.6%に達し、2024年10月から12月の1.9%と比較して245%増加した。特に3月4日には、悪意のある添付ファイルの29.5%がSVGファイルだった。
Trustwave SpiderLabsのデータによると、2025年初頭のSVGベースの攻撃は2024年4月以降に収集されたデータと比較して1800%増加している。Forcepoint社も3月17日以降、1日あたり約500件のSVGを使用したフィッシングメッセージを観測している。
攻撃の手法としては、SVGファイルがHTMLページとして機能するケースと、JavaScriptを含むケースがある。前者では、ユーザーがファイルを開くとHTMLページが表示され、リンクをクリックするとGoogle Voiceを装ったフィッシングページにリダイレクトされる。後者では、ファイルが開かれるとJavaScriptが実行され、偽のMicrosoftログインフォームを備えたフィッシングサイトが表示される。
これらの攻撃は、Microsoft SharePoint、DocuSign、Dropbox、Google Voiceなどのサービスを装っており、Tycoon2FA、Mamba2FA、Sneaky2FAなどのAiTM(Attack-in-the-middle)PhaaS(Phishing-as-a-Service)プラットフォームと関連している。さらに、Sophos社の研究者Andrew Brandt氏によると、最近ではCloudflare CAPTCHAゲートを使用して検出回避を図ったり、マルウェアペイロードを配信したりするなど、攻撃が高度化している。
from:Phishing attacks leveraging HTML code inside SVG files
【編集部解説】
サイバーセキュリティの世界では、攻撃者の手法は常に進化しています。今回注目すべきは、一般的には画像形式として知られるSVG(Scalable Vector Graphics)ファイルを悪用した新たなフィッシング攻撃手法です。この攻撃手法が2025年に入って急増していることは、複数のセキュリティ企業の調査結果から確認されています。
SVG形式は、拡大縮小しても画質が劣化しないベクターグラフィックスとして、ウェブサイトやデジタルマーケティングで広く利用されています。しかし、その内部構造はXMLベースであるため、JPEGやPNGといった一般的な画像形式とは異なり、HTMLやJavaScriptといったウェブ技術を埋め込むことが可能です。
この特性は本来、デザイナーがインタラクティブな要素を画像に組み込むための便利な機能ですが、サイバー犯罪者はこれを悪用し始めています。特に注目すべきは、Trustwave SpiderLabsの報告によると、2025年初頭のSVGベースの攻撃が2024年4月以降と比較して1800%も増加しているという点です。
これらの攻撃は主に2つのパターンがあります。1つ目は、SVGファイルがHTMLページとして機能するケースで、ユーザーがファイルを開くとHTMLページが表示され、リンクをクリックするとGoogle Voiceなどを装ったフィッシングページにリダイレクトされます。2つ目は、SVGファイルにJavaScriptが埋め込まれているケースで、ファイルを開くだけでブラウザが起動し、偽のMicrosoftログインフォームなどを備えたフィッシングサイトが表示されます。
さらに懸念されるのは、CyberInsider社の報告によると、最近の攻撃ではJavaScriptによる自動化、Cloudflare CAPTCHAによる検出回避、事前入力されたログインフォーム、複数の場所への同時データ送信など、より高度な技術が使用されていることです。特に、一部のSVGファイルはマルウェアを配信するために使用されており、Nymeria keyloggerなどの悪意あるソフトウェアをインストールする事例も確認されています。
この攻撃手法が急速に広がっている背景には、SVGファイルが一般的に使われているため受信者に警戒されにくいこと、そして多くのメールセキュリティフィルターがSVGファイル内の悪意あるコードを検出しにくいという技術的な利点があります。また、Forcepoint社の分析によると、攻撃者はpages.devなどの無料ウェブホスティングサービスを利用して、フィッシングサイトをホストする傾向も見られます。
企業のセキュリティ担当者は、SVGファイルの潜在的なリスクを認識し、メールフィルタリングシステムの設定を見直すことが重要です。Sophos社は、これらの攻撃を検出するための署名「Cxmail/EmSVG-C」を開発し、Sophos Central Emailに実装しています。また、エンドユーザー向けのセキュリティ意識向上トレーニングにおいて、SVGファイルの危険性について啓発することも効果的でしょう。
個人ユーザーの皆さんも、知らない送信者からのSVG添付ファイルには特に注意を払い、不審なファイルは開かないようにすることが重要です。また、SVGファイルをブラウザではなくメモ帳などのテキストエディタで開くよう設定を変更することで、自動実行を防ぐことができます。さらに、多要素認証を有効にすることで、万が一フィッシングサイトに資格情報を入力してしまった場合でも、アカウント乗っ取りのリスクを軽減できます。
【用語解説】
SVG(Scalable Vector Graphics):
XMLベースのベクターグラフィックス形式。通常の画像(JPEGやPNG)と異なり、拡大縮小しても画質が劣化せず、HTMLやJavaScriptコードを埋め込める特性を持つ。
フィッシング:
正規のウェブサイトやサービスに見せかけた偽サイトへユーザーを誘導し、ログイン情報などの個人情報を盗む攻撃手法。
AiTM(Attack-in-the-Middle):
攻撃者が被害者と正規サービスの間に入り込み、通信を傍受・改ざんする攻撃手法。中間者攻撃とも呼ばれる。
PhaaS(Phishing-as-a-Service):
フィッシング攻撃ツールをサービスとして提供するビジネスモデル。技術的知識がなくても簡単にフィッシング攻撃を実行できるようにする。
多要素認証(MFA):
パスワードに加えて、スマートフォンアプリの確認や生体認証など、複数の認証要素を組み合わせてセキュリティを高める仕組み。
CAPTCHA:
「Completely Automated Public Turing test to tell Computers and Humans Apart」の略。人間とコンピュータを区別するためのテスト。歪んだ文字の読み取りや画像選択などの課題を出し、ボットによる自動アクセスを防ぐ。
【参考リンク】
カスペルスキー(Kaspersky)(外部)
ロシア発のサイバーセキュリティ企業。アンチウイルスソフトウェアや脅威インテリジェンスサービスを提供
KnowBe4(外部)
セキュリティ意識向上トレーニングと模擬フィッシングプラットフォームを提供する企業
Trustwave SpiderLabs(外部)
サイバーセキュリティ企業Trustwaveの脅威調査チーム。サイバー犯罪対策を行う
Sophos(外部)
英国のセキュリティソフトウェア・ハードウェア企業。マネージドセキュリティサービスを提供
Forcepoint(外部)
米国のサイバーセキュリティ企業。データ保護、クラウドセキュリティなどを提供
CyberInsider(外部)
サイバーセキュリティに関する最新ニュース、分析、解説を提供するオンラインメディア
【参考動画】
【編集部後記】
テクノロジーに精通した皆さん、SVGファイルを使った新たなフィッシング手法は、私たちが日常的に扱う「画像」という概念の境界線を曖昧にしています。皆さんは普段、メール添付ファイルをどのように判断していますか?「画像だから安全」という思い込みはありませんか?セキュリティの世界では、見た目の安全性が最大の落とし穴になることも。ぜひ、ご自身や組織のセキュリティ対策を今一度見直してみてはいかがでしょうか。最新の脅威動向に関するご意見や、実際に遭遇した不審なファイルの体験など、コメント欄でお聞かせいただければ幸いです。
【関連記事】
サイバーセキュリティニュースをinnovaTopiaでもっと読む
