営業担当者へ連絡
ホーム  /  技術部門  / SVGの脅威を暴く:ハッカーがベクターグラフィックをフィッシング攻撃に利用する仕組み
SVGの脅威を暴く:ハッカーがフィッシング攻撃にベクターグラフィックを利用する方法

SVGの脅威を暴く:ハッカーがフィッシング攻撃にベクターグラフィックを利用する方法

著者 ルマナ・シディキ
ルマナ・シディキ
技術部門

イントロダクション

サイバーセキュリティは常に進化しており、攻撃者は従来の防御を突破する新たな方法を常に模索しています。最新かつ最も巧妙な手法の一つは、 スケーラブルベクターグラフィックス(SVG)SVGは、ウェブサイトやアプリケーション用のクリーンでスケーラブルな画像によく使われるファイル形式です。しかし、一見無害に見えるSVGには、高度な攻撃を実行できる脅威的なスクリプトが潜んでいる可能性があります。 フィッシング攻撃。

このブログでは、SVG がどのように武器化されるのか、なぜ SVG が検出を逃れることが多いのか、そして組織が自らを守るために何ができるのかについて説明します。

SVG: 単なる画像以上のもの

SVGファイルはJPEGやPNGなどの標準的な画像形式とは根本的に異なります。SVGはピクセルデータを保存する代わりに、 XMLベースのコード ベクターパス、シェイプ、テキストを定義するためにSVGが使用されています。これにより、画質を損なうことなく拡大縮小できるため、レスポンシブデザインに最適です。しかし、この同じ構造により、SVGには以下のようなものも格納できます。 埋め込みJavaScriptこれは、ファイルがブラウザで開かれたときに実行されます。これは多くの Windows システムでデフォルトで実行されます。

 出荷

  • 電子メールの添付ファイル: 説得力のある件名と送信者のなりすましによるスピアフィッシング メールで送信されます。
  • クラウドストレージリンク: Dropbox、Google Drive、OneDrive などを通じて共有され、多くの場合、電子メール フィルターをバイパスします。
図1 SVGキャンペーンの攻撃チェーン

この画像は、SVG フィッシング攻撃チェーンを 4 つの異なる段階で示しています。攻撃は、一見無害な SVG 添付ファイルを含む電子メールから始まります。この添付ファイルを開くと、ブラウザで JavaScript が実行され、最終的にユーザーは認証情報を盗むために設計されたフィッシング サイトにリダイレクトされます。

攻撃の仕組み:

ターゲットが SVG 添付ファイルを受信して​​電子メールを開くと、通常、SVG ファイルを処理するように特定のアプリケーションが設定されていない限り、ファイルはデフォルトの Web ブラウザーで起動され、埋め込まれたスクリプトが直ちに実行されます。

図2: SVGキャンペーンのフィッシングメール

攻撃者は、次のような欺瞞的な件名のフィッシングメールを頻繁に送信します。 「予定されているイベント7212025のリマインダー.msg」 or 「会議リマインダー-7152025.msg」、無害に見える添付ファイルとペアになっています 「今後の会議.svg」 or 「あなたのやることリスト.svg」 疑いを持たれないようにするためです。SVGファイルを開くと、埋め込まれたJavaScriptが被害者を静かにリダイレクトします。 フィッシング詐欺 Microsoft 365 や Google Workspace などの信頼できるサービスを模倣したサイト。図に示すように。

図3: 悪意のある SVG コード。

分析したSVGサンプルでは、​​攻撃者は tag within the SVG, using a CDATA section to hide malicious logic. The code includes a long hex-encoded string (Y) and a short XOR key (q), which decodes into a JavaScript payload when processed. This decoded payload is then executed using window.location = ‘javascript:’ + v;, effectively redirecting the victim to a phishing site upon opening the file. An unused email address variable (g.rume@mse-filterpressen.de) is likely a decoy or part of targeted delivery.

復号すると、C2Cフィッシングリンクが見つかりました。

hxxps://hju[.]yxfbynit[.]es/koRfAEHVFeQZ!bM9

図4: Cloudflare CAPTCHAゲート

リンクは、CloudflareのCAPTCHAゲートで保護されたフィッシングサイトへと誘導します。人間であることを確認するためのボックスにチェックを入れると、攻撃者が管理する悪意のあるページにリダイレクトされます。

図5: Office 365 ログインフォーム

このページには本物のように見える Office 365 ログイン フォームが埋め込まれており、フィッシング グループがユーザーの電子メールとパスワードの資格情報を同時に取得して検証できるようになります。

結論: SVGベースの脅威に先手を打つ

攻撃者が革新を続ける中、組織はSVGのような一見無害なファイル形式に潜むリスクを認識する必要があります。セキュリティチームは以下の点に留意する必要があります。

  • 実施する 詳細なコンテンツ検査 SVG ファイルの場合。
  • 信頼できないソースからの SVG の自動ブラウザレンダリングを無効にします。
  • 見慣れない添付ファイルを開くことのリスクについて従業員を教育します。
  • 電子メールおよび Web トラフィック内の異常なリダイレクトとスクリプト アクティビティを監視します。

SVGは開発者にとって強力なツールとなるかもしれませんが、悪用されればサイバー犯罪者にとって強力な武器となる可能性があります。この新たな脅威に先手を打つには、SVGに対する認識と積極的な防御が鍵となります。

IOC

c78a99a4e6c04ae3c8d49c8351818090

f68e333c9310af3503942e066f8c9ed1

2ecce89fa1e5de9f94d038744fc34219

6b51979ffae37fa27f0ed13e2bbcf37e

4aea855cde4c963016ed36566ae113b7

84ca41529259a2cea825403363074538

 

著者:

ソウメン・ビルマ

ルマナ・シディキ

ルマナ・シディキ

ルマナ・シディキについて

ルマナ・シディキは、クイックヒール・セキュリティラボでシニアセキュリティリサーチャーとして働いています。彼女はマルウェア分析、リバースエンジニアリング、そして…

ルマナ・シディキの記事 »

関連記事