スケーラブルベクターグラフィックス(.svg)ファイルは、軽量なXMLベースの画像で、任意の解像度でレンダリングできます。通常は無害ですが、アクティブなコードが含まれている場合があり、ハッカーはマルウェアを密かに拡散させる手段として、このファイルを利用することが多くなっているようです。
VirusTotalの新しいレポートでは、この戦術がどれほど進化したかが示されており、兵器化された SVG を使用してマルウェアを投下し、政府機関を偽装し、ウイルス対策の検出を完全に回避するキャンペーンが明らかになっています。
これまで検出されていなかったフィッシングSVG 44件
グーグルが所有するスキャンプラットフォームは9月4日に発表した報告書の中で、同社のコードインサイトシステムがコロンビアの司法制度からの法的通知を装ったSVGファイルにフラグを立てたと述べた。
ファイルを開くと、ブラウザ内に本物そっくりのウェブポータルが表示され、偽のプログレスバーとダウンロードボタンも表示されます。ダウンロードボタンをクリックすると、署名済みのComodo Dragonブラウザ実行ファイルと、実行ファイルを実行するとサイドロードされる悪意のある.dllファイルを含む悪意のあるZIPアーカイブがダウンロードされます。これにより、システムにさらなるマルウェアがインストールされます。
この攻撃は、SVGがHTMLとJavaScriptの埋め込みをサポートするという、既知でありながら見落とされがちな特徴を利用していました。つまり、SVGはメールに添付されていたり、クラウドストレージにホストされていたりしても、ミニウェブページのように、あるいは今回のケースのように完全なフィッシングキットのように利用される可能性があるのです。VirusTotalの遡及スキャンでは、523個のSVGファイルがこの攻撃キャンペーンに関連付けられ、そのうち44個は提出時点でどのウイルス対策エンジンでも全く検出されませんでした。
VirusTotal の調査結果によると、これらの SVG のソース コードには、コード難読化技術と「エントロピーを増やして静的検出を回避するための大量のダミー (ガベージ) コード」が含まれていました。
画像
1
の
2
孤立したケースではない
今年初め、IBM X-Forceは銀行や保険会社を標的としたSVGフィッシングキャンペーンを記録しました。また、CloudflareのCloudforce One脅威チームは、リダイレクターや完全にエンコードされた認証情報収集ツールとして機能するSVGの急増を追跡しています。一方、Sophosなどのセキュリティベンダーは、フィルターをすり抜けるSVGペイロードを発見した後、新たな検出ルールを導入しました。
Tom's Hardware の最高のニュースと詳細なレビューをあなたの受信箱に直接お届けします。
一方、Microsoftは、 Web版Outlookおよび新しいWindows版OutlookにおけるインラインSVGレンダリングのサポートを終了しました。これにより、インラインSVGレンダリングは表示されなくなり、本来表示されるはずだった場所に空白が表示されます。これにより、メッセージ本文にアクティブコンテンツを忍び込ませようとする攻撃者にとって、強力な配信経路が遮断されます。
現時点では、ユーザーは、不明な SVG ファイルを、他の不明なファイルと同じレベルの精査で扱う必要があります。
Tom's HardwareをGoogleニュースでフォローするか、お気に入りの情報源として追加して、最新のニュース、分析、レビューをフィードで受信しましょう。「フォロー」ボタンを忘れずにクリックしてください!
ルーク・ジェームズはフリーランスのライター兼ジャーナリストです。法務の経歴を持つものの、ハードウェアやマイクロエレクトロニクスなど、テクノロジー全般、そして規制に関するあらゆることに個人的な関心を持っています。
