新種のSVGフィッシングマルウェアが登場 解析を妨害する複数の手口を搭載：セキュリティニュースアラート

AhnLabは新たなSVG形式のフィッシングマルウェアを発見したと発表した。このマルウェアにはセキュリティ対策を回避する複数の手口を備えていることが確認されている。

[後藤大地，有限会社オングス]

　AhnLabは2025年3月28日（現地時間）、新たなScalable Vector Graphics（SVG）形式のフィッシングマルウェアを発見したと発表した。このマルウェアは分析を妨害する機能を備えており、従来のセキュリティ対策を回避する巧妙な手口が確認されている。

分析を妨害する複数機能を搭載　SVG形式の新フィッシングマルウェアとは？

　SVGはXMLベースのベクター画像フォーマットでWeb上でアイコンやロゴ、グラフなどで広く使用されている。CSSやJavaScriptを組み込むことが可能なため、悪意のあるスクリプトを埋め込む手段として利用されている。AhnLabのセキュリティインテリジェンスセンター（ASEC）は、2024年11月にSVG形式のマルウェアについて報告していたが、より高度な形態へと進化していることが分かった。

　サイバー攻撃に使用されるSVGファイルは一般的な業務関連のようなファイル名を装っており、次のようなファイル名が使用されていることが確認されている。

• Play Voicemail Transcription.（387.KB）.svg
• MT103_0296626389_.svg
• DOC217_3052.svg
• ATT78683.svg
• Access Document Remittance_RECEIPT6534114638.svg

　最新のSVGマルウェアではscriptタグのsrc属性にBase64でエンコードされたデータが埋め込まれている。この手法は通常、Webページの画像を埋め込む際に使用されるが攻撃者はこれを利用してセキュリティ対策を回避しているという。デコードされたコードには不正なリダイレクトURLが含まれており、ユーザーを偽の認証ページに誘導する。

　同マルウェアは分析を妨害するよう設計されており、次のような手口が組み込まれている。

• 自動解析ツールのブロック：　マルウェアはアクセス元のUserAgentをチェックし、Webドライバーや自動化ツール（PhantomJS）、プロキシツール（Burp Suite）などを検出すると白紙のページにリダイレクトすることで解析を妨害する
• 特定のキー入力のブロック：　セキュリティ研究者による解析を防ぐため、開発者ツールを開くショートカットキーの入力を無効化している
• 右クリックの禁止：　ユーザーがページ上でマウスの右ボタンをクリックした際に右クリックイベントの動作を無効化している
• デバッグの検出：　performance.now（）関数を使用してコードの実行時間を測定し、通常より遅延が発生した場合、デバッガの存在を検出して正規のWebサイトにリダイレクトする

　これらの解析妨害をクリアしたユーザーがCAPTCHA認証ボタンをクリックすると、特定のURLにGETリクエストが送信され、さらなる悪意ある処理が実行される。現時点ではレスポンスの詳細は不明だが、Microsoftのログインページを装ったフィッシングサイトに誘導する可能性が高いとみられている。

　SVG形式のマルウェアは進化を続けており、悪用が増加している。特にメールの添付ファイルとして送信されるケースが多く、ユーザーは不審な送信元からのSVGファイルを開かないよう注意することが望まれる。また企業や組織は従業員へのセキュリティ教育を強化するとともに悪意のあるファイルに対する警戒を高めることが推奨される。