SVGファイルを悪用したフィッシングを確認 日本向けに手口をローカライズか：セキュリティニュースアラート

SophosはSVGファイルを悪用した新たなフィッシングキャンペーンを確認した。この攻撃は多言語のユーザーを標的にしており、日本向けに手法を細かくローカライズしていることが明らかになっている。

[後藤大地，有限会社オングス]

　Sophosは2025年2月5日（現地時間）、SVG（Scalable Vector Graphics）ファイルを悪用した新たなフィッシングキャンペーンが展開されていると報じた。従来のスパムフィッシング対策を回避することを目的にSVGファイルを使った電子メール詐欺が増加しているという。

SVGを悪用したフィッシングを確認　日本向けに手口をローカライズか

　SVGはベクター画像を描画するためのファイル形式であり、XMLベースで記述されている。そのため画像データだけでなく、HTMLのアンカータグやスクリプトを埋め込むことが可能だ。攻撃者はこの特性を悪用し、電子メールの添付ファイルとして悪意のあるSVGを送信している。

　被害者がSVGファイルを開くと「Windows」の標準設定ではWebブラウザが起動し、画像とともに埋め込まれたリンクが表示される。リンクをクリックすると「Microsoft 365」や「Dropbox」を模倣したフィッシングページに誘導され、ログイン情報が窃取される仕組みだ。

　このキャンペーンで使われたフィッシングメールの件名やメッセージには、一般的なフィッシング攻撃に共通する多くの表現方法が利用されている。また、フィッシングページの見た目も巧妙に偽装され、Microsoft 365や「Google Voice」など正規のサービスと誤認させるデザインとなっている。

　さらに受信者のトップレベルドメインに基づき、さまざまな言語のユーザーをターゲットにしていることも判明している。例えば日本の学術機関をターゲットにした電子メールおよびその電子メールに埋め込まれたSVGはどちらも日本語で作成されており、精巧に模倣されたDropboxのログイン画面も日本語にローカライズされていたことが確認されている。

　その他にも攻撃者がSVGファイル内にJavaScriptを埋め込み自動的にフィッシングサイトへリダイレクトさせる手口や、同じくSVGファイル内にZIPアーカイブを埋め込みマルウェアを隠す手法も発見されている。

　Sophosはセキュリティ対策としてSVGファイルをWebブラウザで開かないように設定することや、デフォルトのアプリを「Notepad」などのテキストエディターに変更することを推奨している。またメールの送信元やURLを確認し、不審なドメインに注意を払うよう助言している。SVGファイル形式には悪意のあるHTML、スクリプト、マルウェアが潜んでいる可能性があるため、継続的な警戒が求められている。