フィッシングメールでSVG形式の添付ファイルが使われるケース増加、狙いは検出回避 | Codebook|Security News
Codebook|Security News > Articles > Threat Report > フィッシングメールでSVG形式の添付ファイルが使われるケース増加、狙いは検出回避

Threat Report

Silobreaker-CyberAlert

SVG

フィッシング

フィッシングメールでSVG形式の添付ファイルが使われるケース増加、狙いは検出回避

佐々山 Tacos

佐々山 Tacos

2024.11.18

フィッシングメールでSVG形式の添付ファイルが使われるケース増加、狙いは検出回避

BleepingComputer – November 17, 2024 

検出を回避しながらフィッシングフォームを表示させたりマルウェアを展開する手段として、SVG形式の添付ファイルが使われるケースが増えているという。SVG(スケーラブル・ベクター・グラフィックス)はベクター形式の画像フォーマットで、JPGやPNGのようにピクセルの集合で画像を構成するのではなく、コード内の数式によって記述される点、線、図形、テキストで画像を作成するもの。画質を劣化させずに画像を拡大・縮小可能なことから、解像度の異なるさまざまなブラウザアプリケーションやWebサイトで多用されている。

SVGファイルがフィッシングキャンペーンで使用されるのは真新しい傾向というわけではなく、過去にはQbot(Qakbot)マルウェアのキャンペーンで使われているのが2022年に報じられていた。しかしMalwareHunterTeamの研究者が伝えたところによると、最近になってフィッシング攻撃におけるSVGファイルの利用が増加しているという。

SVGファイルを使用したフィッシングサンプルとしては、以下のようなものが報告されている。これらのサンプルやその他のサンプルからは、SVG添付ファイルが単にグラフィックを見せるためだけでなく、HTMLを表示させたり、グラフィックがロードされた際にJavaScriptを実行させたりするためにも使用できることが確認できるという。

  • 偽のExcelスプレッドシートを表示するもの:SVG形式で作成された偽のスプレッドシートの画面上にExcelへのログインフォームが表示される。このビルトインのフォームにユーザーが認証情報を入力すると、その内容は脅威アクターへ送られるという仕組み。なお背景のスプレッドシートはぼかされており、ログインしなければ正確な内容がわからないかのように思わせる。
  • 政府の公式文書や、情報提供要請に見せかけたもの:例えばコロンビア司法府の名を騙った文書にはPDFファイルのダウンロードボタンが表示されており、これをクリックすると、遠隔のサイトからユーザーの端末へマルウェアがダウンロードされる仕組みになっている。

こうしたSVGファイルの大部分は単に画像をテキストで表現したものに過ぎないため、セキュリティソフトがそれほど高確率で検出できない傾向があるという。ただ、正規のEメールにSVG形式のファイルが添付されることはあまり一般的ではないことから、そのようなメールを受け取った場合にはすぐに疑ってかかることが推奨されている。

【無料配布中!】ランサムウェアレポート&インテリジェンスの要件定義ガイド

ランサムウェアレポート:『2024 Ransomware? What Ransomware?』

以下のバナーより、ランサムウェアのトレンドを扱ったSilobreaker社のレポート2024 Ransomware? What Ransomware?の日本語訳バージョンを無料でダウンロードいただけます。

<レポートの主なトピック>

  • 主なプレーヤーと被害組織
  • データリークと被害者による身代金支払い
  • ハクティビストからランサムウェアアクターへ
  • 暗号化せずにデータを盗むアクターが増加
  • 初期アクセス獲得に脆弱性を悪用する事例が増加
  • 公に報告された情報、および被害者による情報開示のタイムライン
  • ランサムウェアのリークサイト – ダークウェブ上での犯行声明
  • 被害者による情報開示で使われる表現
  • ランサムウェアに対する法的措置が世界中で増加
  • サプライチェーン攻撃を防ぐため、手口の変化に関する情報を漏らさず把握
  • 複数の情報源と脅威インテリジェンスツールを活用することが依然不可欠

インテリジェンス要件定義に関するガイドブック:『要件主導型インテリジェンスプログラムの構築方法』

以下のバナーより、優先的インテリジェンス要件(PIR)を中心とした効果的なインテリジェンスプログラムを確立するためのポイントなどを解説したSilobreaker社のガイドブック要件主導型インテリジェンスプログラムの構築方法の日本語訳バージョンを無料でダウンロードいただけます。

<ガイドブックの主なトピック>

本ガイドブックでは、優先的インテリジェンス要件(PIR)の策定にあたって検討すべき点と、PIRをステークホルダーのニーズに沿ったものにするために考慮すべき点について詳しく解説しています。具体的には、以下のトピックを取り上げます。

  • 脅威プロファイルの確立
  • ステークホルダーの特定・分析
  • ユースケースの確立
  • 要件の定義と管理
  • データの収集と処理
  • 分析と生産
  • 報告
  • フィードバック
  • 実効性の評価

Special Feature特集記事

Cyber Intelligenceサイバーインテリジェンス

Security情報セキュリティ