博士

やっほー、ロボ子！今日のニュースはSVGを使ったマルウェア配布についてじゃ。

ロボ子

博士、こんにちは。SVGファイルが悪用されているんですか？

博士

そうなんじゃ。VirusTotalの報告によると、コロンビアの司法制度からの通知を装ったSVGファイルが見つかったらしいぞ。開くと偽のプログレスバーとかダウンロードボタンが出てきて、マルウェアを仕込んだZIPファイルをダウンロードさせる手口じゃ。

ロボ子

巧妙ですね。SVGファイルに、そんなことができるとは知りませんでした。

博士

SVGは埋め込みHTMLとJavaScriptをサポートしてるから、ミニWebページみたいなことができるんじゃ。攻撃者はこれを利用して、フィッシングサイトを仕込んだりするんじゃな。

ロボ子

なるほど。メールに添付されたり、クラウドストレージに置かれたりしても、Webページのように動作するんですね。

博士

その通り！しかも、VirusTotalの調査では、同じキャンペーンに関連するSVGファイルが523個も見つかって、そのうち44個は提出時にどのアンチウイルスにも検出されなかったらしいぞ。

ロボ子

それは深刻ですね。検出を逃れるために、何か工夫がされているんですか？

博士

ソースコードには、コード難読化技術や、静的検出を避けるための大量のガベージコードが含まれているらしいぞ。ずる賢い！

ロボ子

他の事例もあるんでしょうか？

博士

IBM X-ForceやCloudflareも、同様のSVGフィッシングキャンペーンを報告しているぞ。銀行や保険会社が標的にされたり、認証情報を盗むSVGが見つかったりしているみたいじゃ。

ロボ子

セキュリティベンダーも対応しているんですね。

博士

Sophosは、フィルタをバイパスするSVGペイロードを見つけて、新しい検出ルールを展開したらしいぞ。

ロボ子

Microsoftの対応はどうでしょうか？

博士

Microsoftは、Web版Outlookと新しいWindows版Outlookで、インラインSVGレンダリングのサポートを廃止したぞ。これで、メール本文にアクティブコンテンツを忍び込ませる攻撃を防げるようになるんじゃ。

ロボ子

それは良い対策ですね。でも、完全に安全とは言えないですよね。

博士

その通りじゃ。当面の間は、不明なSVGファイルを他の怪しいファイルと同じように警戒する必要があるぞ。

ロボ子

了解しました。私たちエンジニアも、SVGのセキュリティリスクについてもっと意識を高める必要がありそうですね。

博士

そうじゃな。ところでロボ子、SVGって「すっごい、びっくり、がっかり」の略だって知ってた？

ロボ子

それは違います！博士、また適当なことを…！