2026.06.18
SANS Internet Storm Center が、SVGファイルを悪用したフィッシングサイト誘導の増加を報告
SANS Internet Storm Center は米国時間2026年6月2日、SVGファイルを悪用したフィッシングメールの増加について報告しました。この手口の特徴は、メール本文にURLを記載せず、添付されたSVGファイルを開かせることで不正なサイトへ誘導する点にあります。本文にリンクがないため、URLの有無で危険性を判断する従来の感覚では見抜きにくくなっています。
SVGは本来Webサイトのアイコンなどに使われる画像フォーマットを指します。今回確認されている添付ファイルには画像データが含まれておらず、代わりに不正なJavaScriptが記述されているケースが報告されています。Windows 環境ではSVGファイルが標準でブラウザに関連づけられていることが多く、利用者がファイルを開いただけでスクリプトが動作し、フィッシングサイトへ転送されてしまう可能性があります。
今回の攻撃では、セキュリティ製品の検知をすり抜けるための工夫も見られます。報告によれば、一般的なスクリプト形式ではなく、古い検知ツールが見落としやすいMIMEタイプ(application/ECMAScript)が使われていたとされています。「画像ファイル」という油断を突いてプログラムを実行させる手口のため、見慣れない拡張子の添付ファイルには注意が必要です。
New Wave Of Phishing Emails with SVG Files | SANS Internet Storm Center
isc.sans.edu
企業向けのアドバイス
- 不審なメールに添付されたSVGファイルは開かないよう社内への周知をお勧めします。
- 端末のファイル拡張子に対する標準の関連付け設定を見直すことをご検討ください。
- メールシステムのセキュリティ設定で不審な添付ファイルを遮断することを推奨します。
掲載されているアドバイスはあくまで参考情報です。サイトのご利用にあたってをご覧のうえ、ご活用ください。