【ITニュース解説】VirusTotal Finds 44 Undetected SVG Files Used to Deploy Base64-Encoded Phishing Pages

サイバーセキュリティの世界では、日々新しい攻撃手法が生まれている。今回、サイバーセキュリティ研究者たちが注目しているのは、これまで見過ごされがちだった「SVGファイル」を悪用した巧妙なフィッシング攻撃である。特に、従来のセキュリティシステムでは検知されにくかった44個ものSVGファイルが発見されたことは、新たな脅威の広がりを示している。この攻撃では、コロンビアの司法制度を装い、ユーザーの情報をだまし取ろうとしていた。

この脅威の発見に貢献したのは「VirusTotal」というサービスだ。VirusTotalは、Googleが買収したスペインのセキュリティ企業が運営しているウェブサービスであり、世界中のアンチウイルスソフトや様々なセキュリティツールを用いて、アップロードされたファイルやURLがマルウェア（悪意のあるソフトウェア）ではないかを検査する役割を果たす。一つのツールだけでは見逃してしまう可能性のある脅威も、多数の異なる視点から検査することで、その危険性を総合的に判断できる点が強みである。今回発見されたSVGファイルも、VirusTotalの検査を通じて、その中に隠された悪意が暴かれたのだ。

次に、「SVGファイル」とは何かについて説明する。SVGとは「Scalable Vector Graphics」の略で、ウェブ上で使われる画像ファイル形式の一つである。一般的な写真ファイルであるJPEGやPNGなどとは異なり、SVGは「ベクター画像」と呼ばれる種類の画像だ。ベクター画像は、点の座標や線、色といった情報を数学的な式で記述するため、拡大しても画像が荒くならず、常に滑らかに表示されるという特徴がある。ウェブサイトのロゴやアイコンによく利用されているのを目にする機会も多いだろう。しかし、SVGの最も重要な特性は、その内部構造がXML（Extensible Markup Language）という、ウェブページの構造を記述する言語に似た形式で書かれている点にある。このXMLベースの特性により、SVGファイルには画像情報だけでなく、ウェブブラウザで実行できる「JavaScript」というプログラムコードを埋め込むことが可能となっている。この特性が悪用されたことが、今回の攻撃の核心部分である。

今回の攻撃の全体像は「フィッシング攻撃」と呼ばれる手法だ。フィッシング攻撃とは、実在する企業や公的機関などを装ってメールやメッセージを送りつけ、偽のウェブサイトへ誘導することで、ユーザーのIDやパスワード、クレジットカード情報などの個人情報をだまし取る詐欺の手口である。今回のケースでは、攻撃者はコロンビアの司法制度を名乗り、ユーザーを欺こうとした。偽のウェブサイトは、本物の司法機関のサイトと見分けがつかないほど精巧に作られていることが多く、ユーザーは正規のサイトだと信じ込んで、機密情報を入力してしまう危険性がある。

具体的に攻撃はどのように進行したのだろうか。まず、攻撃者は悪意のあるSVGファイルを添付したメールをターゲットに送信する。ユーザーがこのメールを受け取り、添付されたSVGファイルを開くと、その内部に埋め込まれた「JavaScriptペイロード」が実行される。ペイロードとは、マルウェアが目的とする「悪意のある動作を実行する部分」を指す言葉だ。このSVGファイル内に隠されたJavaScriptは、特定の処理を行うようにプログラムされている。

このJavaScriptペイロードが実行されると、次に「Base64エンコード」されたデータが登場する。Base64とは、バイナリデータ（コンピューターが扱う生データ）を、英数字と記号だけで構成されるテキストデータに変換する符号化（エンコード）方式の一つである。この変換によって、元のデータは人間には読みにくい文字列の羅列になる。今回の攻撃では、フィッシングページを構成する「HTML」というウェブページの記述言語で書かれたコード全体がBase64でエンコードされていた。これは、セキュリティシステムによる検知を逃れるための巧妙な手口だ。セキュリティソフトウェアは、既知の悪意のあるコードパターンやキーワードをスキャンして脅威を検出するが、Base64でエンコードされた状態では、本来の悪意のある内容が隠蔽されており、パターンマッチングが困難になるため、検知をすり抜けやすくなるのだ。

実行されたJavaScriptは、このBase64エンコードされたHTMLデータを「デコード」（元のデータに戻すこと）し、それをウェブページとして「注入」（表示させること）する。これにより、ユーザーの目の前には、コロンビアの司法制度を装った、偽のフィッシングページが出現する。ユーザーは、目の前のページが正規のものであると信じ込み、誘導されるままに個人情報を入力してしまうと、その情報が攻撃者の手に渡ってしまうというわけだ。

今回の攻撃が「Undetected（未検出）」であったという事実は、特に注意を要するポイントだ。これは、従来のセキュリティ対策が、このような新しい形式の脅威に必ずしも対応できていなかったことを意味する。SVGファイルという、一見すると無害な画像ファイルの中に悪意が巧妙に隠されていたため、多くのアンチウイルスソフトやメールセキュリティゲートウェイがその危険性を見抜けなかったのである。このことは、常に新しい攻撃手法を学び、セキュリティ対策を更新し続ける必要性があることを強く示唆している。システムエンジニアを目指す上では、こうした最新の脅威の動向を常に追い、システムの設計や運用において、想定外の攻撃にも耐えうるような多層的な防御策を考慮する視点を持つことが不可欠となる。

最終的に、このニュースは、ファイル形式の多様性とそれに伴う潜在的なリスクを浮き彫りにした。ウェブサイトやアプリケーション開発において、画像ファイルを含む様々な種類のファイルを扱う際には、そのファイルの特性とセキュリティリスクを深く理解しておくことが重要だ。また、エンドユーザー教育も欠かせない。不審なメールの添付ファイルは開かない、ウェブサイトのURLを常に確認するなど、基本的なセキュリティ意識を持つことが、このような巧妙なフィッシング攻撃から身を守るための第一歩となる。セキュリティは、技術的な側面だけでなく、人々の意識にも大きく依存する分野だということを、改めて認識させられる事例である。