2025/08/07 CyberSecurityNews — Scalable Vector Graphics (SVG) ファイルを、高度な攻撃ベクターとして悪用し始めたサイバー犯罪者たちは、無害に見える画像ファイルをフィッシング攻撃ツールへと変化させ、Windows システム上で悪意の JavaScript 実行を可能にしている。この脅威は、SVG ファイルの XML ベース構造を利用し、ユーザーのデフォルト Web ブラウザ上で悪意のファイルが開かれる際に、そこに埋め込まれたスクリプトを実行することで、従来からのセキュリティ対策を回避していく。
JPEG/PNG などピクセル・データを保存する標準的な画像形式とは異なり、SVG ファイルは XML コードでベクターパス/図形/テキスト要素などを定義している。この構造上の特性を悪用する攻撃者は、ファイル内部に JavaScript を埋め込み、ブラウザで開かれる際に、それを自動的に実行させることが可能となる。特に Windows システムでは、SVG ファイルがデフォルトの Web ブラウザで開かれるため、ユーザーがファイルを開くだけでスクリプトが即時実行される。
Seqrite のセキュリティ研究者たちが確認しているのは、この手法を用いた高度な攻撃キャンペーンの存在である。攻撃者たちが悪用するのは、ユーザーが予定しているイベント・リマインダーや、”会議.svg”/”ToDoリスト.svg” などを添付するスピアフィッシング・メールであり、それらに悪意の SVG ファイルを埋め込んでいる。
.webp)
このキャンペーンでは、Dropbox/Google Drive/OneDrive などのクラウド・ストレージ・サービスも悪用されており、メールのセキュリティ・フィルタを回避して悪意あるファイルが拡散されている。さらに、この攻撃は、複数の回避手法を組み合わせて持続性を確保し、従来のセキュリティ・ソリューションによる検出を回避していた。
技術的感染メカニズムとコード難読化
脅威アクターたちが用いる技術は、悪意の SVG ファイルの CDATA セクション内に <script> タグを埋め込み、基本的なコンテンツ・スキャナからコードを隠蔽するものだ。セキュリティ研究者たちが確認したのは、16 進エンコードされた文字列変数 (Y) と、短い XOR キー (q) の組み合わせにより、このペイロードが難読化されていることだった。
ペイロードの復号化が完了すると、このエンコード・データは実行可能な JavaScript となり、”window.location = ‘javascript:’ + v;” 構文を使用して、被害者をフィッシング・サイトへとリダイレクトする。
具体的には、C2 (command-and-control) インフラである (hxxps://hju[.]yxfbynit[.]es/koRfAEHVFeQZ!bM9) へと、ユーザーはリダイレクトされる。この C2 インフラは、Cloudflare の CAPTCHA ゲートを経由するものであり、その後に、Office 365 を装う偽のログイン・フォームを表示して、ユーザーから認証情報を窃取する。
画像ファイルである SVG が、XML ベースのコード構造を持つ点を、脅威アクターたちは悪用しています。この構造の中に JavaScript を埋め込む攻撃者は、CDATA セクションを細工し、コードを難読化することで検出を回避します。それぞれのユーザーによる、SCG ファイルの慎重な取り扱いが必要になりますが、それは、かなり難しいことだと思います。よろしければ、Steganography で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.