KnowBe4 Threat Labパブリケーション
著者:James Dyer、Cameron Sweeney
KnowBe4 Threat Labは、SVG(Scalable Vector Graphics)ファイルの使用を使った攻撃が増加していることを観測しました。
SVGファイルは、PNGやJPGのようなピクセルファイルではなく、ベクターファイルです。そのため、画質を損なうことなくグラフィックを拡大することが可能で、ロゴやアイコンなどをメールで共有するのに最適なファイルタイプです。
サイバー犯罪者は、QRコードなど、ユーザーが見慣れた画像でSVGファイルタイプを利用することで、フィッシング攻撃の対象ユーザーに油断を生じさせることを期待しています。
また、SVGファイルは従来のメールセキュリティフィルターを回避するための利点もあります。この点は本ブログの後半で詳しく説明します。
KnowBe4 Threat Labは、2025年1月1日から3月5日の間に、KnowBe4 Defendが検出したフィッシングメールを分析しました。その結果、フィッシングメールで使用されていた悪意のある添付ファイル全体のうち、6.6%がSVGファイルであることを発見しました。3月4日は特に多く、SVGファイルが全添付ファイルの29.5%を占めました。2024年10月1日から12月31日の間に検出したフィッシングメールのSVGファイル使用率は1.9%のため、現在の数字はこの期間と比べると275%増となります。
-3.png?width=600&height=366&name=unnamed%20(1)-3.png)
さらに、これらの攻撃を詳しく調べた結果、2つフィッシングキャンペーンがこの増加に大きく貢献していることが明らかになりました。以下、詳細になります。
ベクトルと攻撃タイプ:メールフィッシング
主な手法:SVGファイルを使用して難読化された悪意のある添付ファイル
ターゲット:グローバル
プラットフォーム:Microsoft 365
SEGなどの検出をバイパス:はい
キャンペーン 1:SVGを利用したポリモーフィックな攻撃
このキャンペーンは、ポリモーフィックなファイル名を持つSVG添付ファイルを使用したフィッシングメール攻撃です。
メールの件名は、日常的に見るような自動送信メール風に設計をされていますが、実際は、侵害されたアカウントから送信されている攻撃です。侵害されたアカウントが高いドメイン年齢ということも加わって、このフィッシングメールはDMARCチェック(DMARC、SPF、DKIMを含む)を通過し、Microsoftのスパムフィルターによる検出も回避しています。
SVGファイルを開くと、受信者のウェブブラウザで読み込まれます。その後、クリック可能な透明な長方形が表示されます。このような空白のページが表示されると、多くの人は思わずクリックしてしまいます。クリックしてしまうと、Microsoftのブランドを悪用した認証情報を詐取するためのウェブサイトにリダイレクトされます。
これらのフィッシングメールは、高度な難読化技術を組み合わせて使用し、セキュアメールゲートウェイ(SEG)などの従来のメールセキュリティ製品によくあるシグニチャベースの検出をすり抜けます。
また、件名と添付ファイル名の両方がポリモーフィックで、一つ一つのフィッシングメールごとに変更されています。これを行うことで、ハッシュベース(SEGで利用される既知のマルウェアシグニチャの検索)の検出を回避しています。メールの信憑性を高めるために、件名には添付ファイル名を含んでいます。さらに、SVGファイル内の悪意のあるリンクは、フィッシングドメインと受信者のメールアドレスでエンコードされているため、SVG内のJavaScriptマルウェアもポリモーフィックと言えます。
以下の画像に表示されているように、メール本文のテキスト自体は少ないですが、多くの改行とメールフッターを入れることで、文字数に対するフィルタリングを回避し、自然言語処理(NLP)検出を無効化することができます。KnowBe4 Threat Labは、サイバー犯罪者の狙いは、正当のフッターを使用することによって、メールセキュリティ検出ソフトウェアを欺き、多くの改行をすることで、フッターを受信者から隠すことだと推測します。
-3.png?width=600&height=379&name=unnamed%20(2)-3.png)
キャンペーン2:Javascriptを使った不在着信メッセージ攻撃
2つ目のキャンペーンは不在着信メッセージを装ったフィッシングメールで、標的とされたユーザーは、留守番電話を聞くための添付ファイルを開くよう促されます。SVGファイルには、クリックするとユーザーのデバイスに自動的にフィッシングウェブサイトを読み込むJavaScriptが含まれています。
このフィッシングキャンペーンは、ユーザーを信用させるための高度なパーソナライゼーションが特徴です。パーソナライゼーションの方法として、ファイル名とメール本文で受信者のメールアドレスを繰り返し記載します。さらに、ペイロード内のJavaScriptは、受信者のメールアドレスをクエリパラメータとして認証情報を詐取するウェブサイトに追加し、ターゲットのメールアドレスを使用して、事前にフォームに入力します。これにより、ユーザーに考える隙を与えずにMicrosoftパスワードを入力させることができ、攻撃の成功の可能性が高まります。
1つ目の攻撃と同様に、侵害されたアカウントからフィッシングメールを送信することで、DMARCのチェックを通過します。メール文には、ユーザーが実際に信頼し、使用しているRingCentralのブランド偽装することで、画像の信憑性も高めています。
最後に、サイバー犯罪者はメールのレイアウトを変更し、Microsoftの外部メールバナーをメールの上部から下部に移動させます。これは、警告バナーを含む、<table>部分のコードをメールの下部に移動するために、マージンとパディングを調整する追加の空白とカスタムスタイリングでHTMLを変更すること行えます。インラインCSSも使用されており、バナーが元の位置に戻らないようにしています。
これを行うことによって、添付ファイルに対する注意を促すメッセージからユーザーの目を逸らすることができます。KnowBe4 Defendのバナーは変更防止の技術を利用しているため、影響を受けませんでした。
-1.png?width=600&height=379&name=unnamed%20(3)-1.png)
SVGを使った脅威がもたらすリスク
SVGファイルは通常の画像ファイルと大きな違いがないため、ユーザーが通報する確率は低いと思われます。その上、SVGファイルは、従来の画像ファイルとは異なるXML構造によって、サイバー犯罪者はユーザーおよびウイルススキャナーに検知されないスクリプトを組み込むことができます。このような構造や高品質のビジュアルの組み合わせにより、SVGファイルは強力なフィッシングにおける脅威となります。
似たような手法を使う攻撃のHTMLスマグリングは、HTMLファイルに有害なコードを埋め込むことで、セキュリティフィルターをバイパスする攻撃ですが、SVGファイルによるフィッシングはこれより危険であると言えます。SVG、コードスマグリングの手法としてユーザーにより馴染みのある画像形式を使用しているため、疑われにくく、結果として従来の防御に検知されることが少なくなります。また、このSVGファイルの手法はまだ広く認識されていないため、多くの組織やセキュリティ製品が脅威を適切に検出または軽減する対応ができていない可能性があります。
セキュアメールゲートウェイ(SEG)による検出の回避
SEGのような多くのメールセキュリティフィルターやエンドポイント保護システムは、主にEXEやHTMLなどの実行可能コードに関連するファイルタイプ、およびZIP、PDF、DOC、JPG、PNGなどのファイルタイプを詳しく検査します。SVGは、一般的に安全なファイルタイプと見なされるため、これらのチェックをバイパスして悪意のあるファイルが配信される可能性が高いです。
SVGは他のファイルタイプと異なり、以下の方法で従来の検出メカニズムを回避することができます:
- テキストベースの形式:SVGはXMLベースで、主にテキストとして表示されます。多くのSEGはそれらを実行可能なコンテンツではなく良性の画像データとして扱います
- 埋め込みコードと難読化:攻撃者は、SVG内にJavaScriptなどの要素を埋め込むことができます。これは他の画像ファイルタイプでは不可能です。また、Base64エンコーディングやDynamic型アセンブリなどの技術を使用することで、埋め込みスクリプトを解析するように設計されていない静的スキャナーから悪意のあるコードを隠します
- 実行時に明らかになるペイロード:ほとんどのSEGは解析能力が限られており、SVGファイル内の埋め込みスクリプトを完全には検査しません。悪意のあるペイロードはファイルがブラウザでレンダリングされたときにのみ明らかになり、SEGの検出メカニズムを逃れます
- 信憑性のある外観:SVGはウェブやグラフィックデザインで広く使用されているため、これらのファイルは正当な画像として使用されることが多く、自動フィルターによるフラグが立てられる可能性が低くなります
複数の攻撃方法提供
SVGは、攻撃者が様々な攻撃手法を利用することを可能にします。この多用途性が、SVGファイルの使用増加を推進しています。
有害なコードの注入
上記の2つ目のキャンペーンのように、攻撃者はSVGファイル内に悪意のあるJavaScriptを埋め込むことができます。これがブラウザで開かれると、このコードは自動的にユーザーを詐欺サイトにリダイレクトすることができます。また、他の機密情報を求めるサイトにリダイレクトやマルウェアのダウンロードを開始したりする可能性もあります。
データ流出
埋め込まれたスクリプトは、ログイン認証情報や個人データなどの機密情報を収集し、外部サーバーに送信するために使用できます。悪意のあるSVGには、ログインフォームに入力されたキーストロークなどのユーザー入力を監視し、攻撃者のサーバーにHTTPリクエストを介して、のデータを送信するコードが含まれている場合があります。これにより、認証情報、個人情報、その他の機密情報の不正な搾取が発生する可能性があります。
検出されないアクション
添付ファイルとして送信されるSVGファイルは、通常、無害な画像と見なされます。これによって、実行されたペイロードが気付かれずに済む可能性があります。ユーザーおよびメールセキュリティフィルターは、画像添付ファイルを実行可能コードであること想定していないため、埋め込まれた悪意のあるコードは検知されることなく実行されます。
これはKnowBe4 Defendのお客様に送信された悪意のあるSVGの隠されたコードスニペットの実例です。
.png?width=600&height=379&name=unnamed%20(4).png)
このコードには3つの重要な機能が含まれています:
- 埋め込み画像:<image>タグはロゴやグラフィックなど、安全に見えるビジュアルアセットを読み込みます。この画像は、基盤となる悪意のある活動からユーザーの注意をそらすことができます。
- 透明なオーバーレイ:透明な塗りつぶしを持つ<rect>要素が画像全体を覆い、目に見えない、クリック可能なホットスポットを作成します。視覚的な手がかりのない通常の画像のように見えるため、ユーザーはそれをクリックすると追加のアクションがトリガーされることに気づきません。
- 悪意のあるハイパーリンク:ファイルのクリック可能な部分は、難読化されたURLを含む<a> タグとなっています。まず、リンクはユーザーをCGIスクリプトに誘導し、これはトラッキングやクリックのカウントに使用されています。クエリパラメータ(link=)は次のURLである最終的な悪意のあるLPへ誘導します。2段階のリダイレクションプロセスは攻撃者の本当の狙いを隠し、セキュリティフィルターをすり抜けます。
SVG添付ファイルを使用したフィッシング攻撃の検出方法
フィッシング攻撃でSVGファイルを使用する魅力の1つは、SEGなどの従来のメールセキュリティ防御をすり抜ける能力です。そのため、組織は見逃された脅威を止める技術的な措置を確保する必要があります。
- 文脈分析で異常を検出する - SVG添付ファイルはグラフィックデザインメールでは一般的ですが、不在通知のメッセージなどの他の文脈での使用は異常であることを認識する
- 添付ファイルとメタデータの検査で不審なパターンを特定する - 受信者のメールアドレスと一致する添付ファイル名や、送信者の表示名とFromアドレスの不一致などを確認
- 高度な自然言語処理(NLP)でメールの内容を分析し、正当なコミュニケーションとフィッシング試行を区別する証拠を探す
- ゼロトラストと包括的な評価で、文脈的な手がかりやメタデータの異常を含むすべての要因を分析し、侵害されたアカウントから送信されたものなどは、すべての標準認証チェックを通過したメールでも脅威として隔離する
KnowBe4 Threat Labは、SVGフィッシング添付ファイルが2025年を通じて重大なフィッシングの脅威を形成すると考えています。高度なメールセキュリティ防御を展開するとともに、フィッシングに関連する人的リスクを効果的に管理するために、パーソナライズされたトレーニングやコーチングへの投資を継続することも重要です。
原典:James Dyer著 2025年3月12日発信 https://blog.knowbe4.com/245-increase-in-svg-files-used-to-obfuscate-phishing-payloads