SVG 画像に潜む新手のサイバー攻撃「SVG Smuggling」

セキュリティニュース

投稿日時: 更新日時:

SVG 画像に潜む新手のサイバー攻撃「SVG Smuggling」

近年、サイバー攻撃者が「画像ファイル」を武器にする事例が増えていますが、セキュリティ企業のOperations は、表面的には無害に見えるSVG(Scalable Vector Graphics)ファイルに、JavaScriptを埋め込むことで、受信者の操作なしに外部へリダイレクトするサイバー攻撃の「SVG Smuggling」を公開しました。

 

感染経路と手法:フィッシングメールと偽装ドメインを巧妙に利用

本攻撃キャンペーンでは、主にフィッシングメールを利用してSVGファイルを拡散する手法が取られています。

攻撃者は、見覚えのある企業や信頼できる人物を装った送信者名とメールアドレスを使用し、あたかも正当な通知であるかのようにメールを送信します。

メールの内容は意図的に簡素化されており、あまり疑いを持たれないような「未処理の請求」や「不在通知」、「タスク確認」などの題材が使われています。

本文も短く、「添付ファイルをご確認ください」や「画像を開いて詳細をご覧ください」といった短文のみが記載されているケースが大半です。

また、メール送信元のドメインは、なりすましや誤認を誘う「類似ドメイン(lookalike domain)」が多く使用されており、

たとえば「example.com」を装う「examp1e.com」や「example.co」などが観測されています。

これに加え、攻撃者はSPF(Sender Policy Framework)やDKIM(DomainKeys Identified Mail)、DMARC(Domain-based Message Authentication, Reporting and Conformance)といったメール認証技術が未整備または誤設定のドメインを狙い、容易に偽装メールを送信しています。

これらの偽装メールには、SVGファイルが直接添付されている場合と、外部のホスティングサービスにアップロードされたSVGファイルへのリンクが含まれる場合があります。

いずれも受信者が画像を開くと、内部に埋め込まれたJavaScriptが自動的に実行され、外部の攻撃者が管理するページへとリダイレクトされる仕組みです。

画像に見せかけた「コード実行」

SVGは、画像フォーマットでありながらXMLベースで記述されるため、内部に<script>タグを含めることが可能です。

攻撃者はこの特性を利用し、以下のような構成でリダイレクトを実現しています

  • <script><![CDATA[...]]></script>内に難読化されたJavaScriptを埋め込み

  • atob()でBase64文字列を復号し、window.location.hrefでリダイレクト

  • リダイレクト先には被害者識別用のトークンが付与されているケースも確認

window.location.href = atob('aHR0cHM6Ly93dnJ6LmxmdGt2b2cubmV0L...') + "$<Base64_Identifier>";

攻撃の技術的な特性と回避策

この手法の特徴は、ユーザーによるファイルのダウンロードやマクロの有効化といった明示的なアクションを必要とせず、SVGファイルが表示されるだけでスクリプトが実行される点にあります。

また、フィッシングドメインはランダム化またはサブドメインベースの構造をとっており、静的フィルタリングによる検出が困難です

ドメインのレピュテーションは低いか不明であり、ホスティング状況からキャンペーン基盤は短期間で定期的に変更される可能性が示唆されます。

そのため、従来のアンチウイルスやEDR(Endpoint Detection and Response)製品では検知が難しいケースがあります。

さらに、リダイレクト先のURLにはBase64でエンコードされた文字列が付与されており、個別の被害者追跡や効果測定にも使われていると考えられます。

標的とされた業界:B2BサービスやSaaS関連企業

本キャンペーンの標的は、主に法人向けサービスを提供する企業。

特に、従業員情報や財務情報を扱う部署が狙われており、業務上メールの受信頻度が高い部門が狙われやすくなっています。

セキュリティ対策:SVGは「画像」ではないと認識せよ

Microsoft Defender for Office 365 推奨設定

  • Safe Attachments / Safe Links の有効化

  • DMARC(ポリシー強制)、SPF/DKIM整備

  • Zero-hour Auto Purge(ZAP)の導入

  • ドメイン・送信元のポリシーブロック

Email/Web対策

  • SVGファイルの受信を制限、またはCDR(Content Disarm and Reconstruction)導入

  • ブラウザでのSVG表示に制限をかける設定

  • DMARCポリシーの強制運用とログ監視

エンドユーザー教育

  • 「画像」添付でも不用意に開かないよう啓発

  • SVGを使ったフィッシング訓練の実施

検出・調査クエリの一例(Microsoft Defender環境)

Ontinueによって公開されたKustoクエリにより、疑わしいSVGの検出が可能です。詳細は以下のリポジトリで確認できます

Ontinue GitHub IOCリスト (2025年7月10日付)

SVG Smugglingは、ユーザーの警戒心をかわしながら、画像ファイルを通じてJavaScriptを実行させる新たなフィッシング攻撃です。従来の「実行ファイル」「悪質リンク」といったわかりやすい脅威とは異なり、極めてステルス性が高く、見落とされがちなリスクでもあります。

今後もこの手法は進化を続ける可能性が高く、企業はメールやファイル形式の「前提の安全性」を見直す必要があります。特にSVGやHTMLなど、一見無害に見えるファイルに潜むスクリプト実行リスクについて、より高度な対策とユーザー教育が求められます。

参照

https://www.ontinue.com/resource/blog-svg-smuggling/