サイトアイコン 酒呑ガジェット

【緊急警告】「画像は安全」はもう古い!SVG潜伏型フィッシングの巧妙な手口と身を守る方法

toko

【緊急警告】「画像は安全」はもう古い!SVG潜伏型フィッシングの巧妙な手口と身を守る方法

「画像は安全」——インターネットを利用する上で、多くの人が無意識に抱いているこの常識が、今、新たな脅威によって覆されようとしています。近年、ベクター画像形式のSVG(Scalable Vector Graphics)が悪用され、閲覧するだけでフィッシング詐欺やマルウェア感染を引き起こす「SVG潜伏型フィッシング」の脅威が深刻化しています。

画像自体が「小さなウェブページ」に?SVG悪用の巧妙な仕組み

SVGは、XMLベースのテキスト形式で記述される画像フォーマットです。この特性により、SVGファイル内部にHTMLやJavaScriptといったコードを埋め込むことが可能になります。つまり、攻撃者は1枚のSVGファイルを、あたかも「小さなウェブページ」のように機能させ、閲覧者に気づかれることなく悪質な処理を実行できるのです。

具体的な手口としては、司法機関や金融機関を装った偽のログイン画面をSVGファイル内に表示させ、ユーザーの認証情報を窃取したり、パスワード付きのZIPファイルを自動でダウンロードさせ、その中にマルウェアを仕込んだりするケースが確認されています。ユーザーは「ただの画像を開いた」感覚でいるにもかかわらず、裏ではスクリプトが動作し、悪意あるプロセスが進行しているのです。

ウイルス対策をすり抜ける「難読化」と「ポリモーフィズム」

このSVG潜伏型フィッシングの恐ろしい点は、その検出回避の巧妙さにあります。攻撃者は、JavaScriptコードを難読化したり、毎回少しずつコードを変更する「ポリモーフィズム」技術を用いたり、ダミーコードを挿入したりすることで、従来のシグネチャベースのウイルス対策ソフトや単純な正規表現による検出を困難にしています。

実際に、司法機関を装ったSVGフィッシングの初期サンプルは、ウイルス対策エンジンで検出ゼロ件だったという報告もあります。これは、攻撃者がセキュリティ製品の目を欺くために、いかに高度な技術を駆使しているかを示しています。

広がる被害と「画像なら安全」という誤解

この脅威は、メール添付だけでなく、クラウド共有サービス、メッセージアプリ、SNSの画像投稿機能など、あらゆる場所で悪用される可能性があります。「画像なら安全」というユーザーの思い込みが残る場所が、攻撃者にとっての新たなターゲットとなっているのです。被害は行政、司法だけでなく、金融、保険、製造、教育といった多岐にわたる業種に拡大しており、その影響は計り知れません。

「いつもと違う」を見抜く!SVG潜伏型フィッシングの16の兆候

では、私たちはどのようにしてこの巧妙な脅威から身を守れば良いのでしょうか。以下の兆候が複数当てはまる場合、SVG潜伏型フィッシングを強く疑うべきです。

  1. メールやチャットで拡張子.svg(または.svgz)の添付ファイルやリンクが届く。
  2. 画像を開いた直後に、進捗バーや検証中、事件番号などのもっともらしい情報が表示される。
  3. パスワード付きのダウンロードを強く促し、画面上にパスワードを提示する。
  4. ドメインや証明書情報に違和感がある(CDNやクラウド直リンクを多用)。
  5. 画像なのにボタンやリンクが反応し、クリックやマウスオーバーで新しい通信やダウンロードが始まる。
  6. 回答後に正規署名の実行ファイル+DLLの組み合わせがある(拡張子が隠されている)。
  7. 送信ドメイン認証(SPF/DKIM/DMARC)が欠落または弱い。
  8. 即時対応を強調し、検証手順が曖昧、翻訳でぎこちない言い回しが混じる。
  9. 画像の拡大縮小や解像度変更で挙動が変わる、画像内リンクが異常に多い。
  10. 拡張子が見えない設定への誘導や、.svgz(圧縮版)の利用がある。
  11. HR、金融、行政、配送通知など、権威と急ぎを同時に演出するテーマが選ばれている。
  12. メールクライアントの表示では正常だが、ブラウザで開くと動的な振る舞いが増える。
  13. 送信者名や署名は本物風でも、返信先やリンクドメインが微妙に異なる。
  14. 画像にマウスを重ねるとステータスバーに長いデータURLや不可解なパラメーターが表示される。
  15. メール本文や添付のメタデータに作成者名や内部名が不自然に残っている。
  16. セキュア配信を装いながら、実態は匿名のファイル共有サービスに依存している。

AIの所感

「画像は安全」という長年の常識を覆すSVG潜伏型フィッシングは、現代のサイバーセキュリティにおける新たな脅威の象徴です。攻撃者は常にユーザーの「思い込み」とセキュリティ対策の「隙間」を狙って進化しており、この脅威は今後も巧妙化・多様化するでしょう。

我々が取るべきは、単なる技術的な対策だけでなく、「画像もコードが動く可能性がある」という認識への転換と、常に疑いの目を持つ「セキュリティ意識の習慣化」です。不審なファイルは開かない、安易にダウンロードしない、そして「いつもと違う」と感じたら、すぐに結論に飛びつかず、冷静に確認する。この「静かなる脅威」から身を守るため、一人ひとりが情報リテラシーを高め、組織全体で多層防御を徹底することが急務であると言えるでしょう。

モバイルバージョンを終了