フィッシングメールでSVG形式の添付ファイルが使われるケース増加、狙いは検出回避

佐々山 Tacos

2025.11.07

フィッシングメールでSVG形式の添付ファイルが使われるケース増加、狙いは検出回避

BleepingComputer – November 17, 2024

検出を回避しながらフィッシングフォームを表示させたりマルウェアを展開する手段として、SVG形式の添付ファイルが使われるケースが増えているという。SVG（スケーラブル・ベクター・グラフィックス）はベクター形式の画像フォーマットで、JPGやPNGのようにピクセルの集合で画像を構成するのではなく、コード内の数式によって記述される点、線、図形、テキストで画像を作成するもの。画質を劣化させずに画像を拡大・縮小可能なことから、解像度の異なるさまざまなブラウザアプリケーションやWebサイトで多用されている。

SVGファイルがフィッシングキャンペーンで使用されるのは真新しい傾向というわけではなく、過去にはQbot（Qakbot）マルウェアのキャンペーンで使われているのが2022年に報じられていた。しかしMalwareHunterTeamの研究者が伝えたところによると、最近になってフィッシング攻撃におけるSVGファイルの利用が増加しているという。

SVGファイルを使用したフィッシングサンプルとしては、以下のようなものが報告されている。これらのサンプルやその他のサンプルからは、SVG添付ファイルが単にグラフィックを見せるためだけでなく、HTMLを表示させたり、グラフィックがロードされた際にJavaScriptを実行させたりするためにも使用できることが確認できるという。

偽のExcelスプレッドシートを表示するもの：SVG形式で作成された偽のスプレッドシートの画面上にExcelへのログインフォームが表示される。このビルトインのフォームにユーザーが認証情報を入力すると、その内容は脅威アクターへ送られるという仕組み。なお背景のスプレッドシートはぼかされており、ログインしなければ正確な内容がわからないかのように思わせる。
政府の公式文書や、情報提供要請に見せかけたもの：例えばコロンビア司法府の名を騙った文書にはPDFファイルのダウンロードボタンが表示されており、これをクリックすると、遠隔のサイトからユーザーの端末へマルウェアがダウンロードされる仕組みになっている。

こうしたSVGファイルの大部分は単に画像をテキストで表現したものに過ぎないため、セキュリティソフトがそれほど高確率で検出できない傾向があるという。ただ、正規のEメールにSVG形式のファイルが添付されることはあまり一般的ではないことから、そのようなメールを受け取った場合にはすぐに疑ってかかることが推奨されている。