Attackers increasingly weaponize SVG files with embedded JavaScript and Base64‑encoded payloads to deliver phishing pages and malware while evading traditional detection. Deep CDR™ Technology, one of the core technologies that powers MetaDefender Core™, neutralizes this class of attack by removing all active content (scripts, external references, event handlers, etc.) and delivering a clean, standards‑compliant image that preserves functionality while eliminating risk. Normal, trustworthy SVGs (Scalable Vector Graphics) do not need JavaScript, so it is removed by default.
なぜSVGなのか
フィッシング・ペイロードの完璧な乗り物
SVGはXMLベースのベクター画像フォーマットであり、単純なビットマップではない。
SVGファイルは以下を含むことができる:
- スクリプト
- イベントハンドラ
- 外部参考文献
これらの機能はインタラクティブなグラフィックスには便利だが、攻撃者はこれを悪用する:
- 悪意のあるコードを実行する
- 悪意のあるXMLデータの注入
- 外部コンテンツの取得
- 偽のログインページを表示する
攻撃者はまた、一見無害に見える画像の中にBase64ペイロードを埋め込み、実行時にデコードすることで、SVGとHTML/JSの密輸を組み合わせています。このテクニックは現在、MITRE ATT&CK "SVG Smuggling"(T1027.017)として正式に追跡されています。
主な収穫
In normal enterprise content workflows (logos, icons, diagrams), SVGs don’t require JavaScript or active content. If you find <script>, event handlers, or remote references in an inbound SVG, treat them as risky.
野生の選手たち
Base64デコードされたフィッシングメールの添付ファイル
- 配信:通常の電子メールには.svgの添付ファイルがあり、多くの電子メールゲートウェイはこれを画像として扱います。
- Technique: Inside the SVG, an obfuscated <script> reconstructs a phishing page from a Base64 blob and loads it in the browser.
リダイレクトにイベント・ハンドラを使用するDrive
- 配信:危殆化した、あるいはタイポスクワットされたサイトは、クリック可能な領域を持つ透明なSVGオーバーレイを使用する。
- テクニックイベント属性(onload、onclick)は、Base64デコードを使用してリダイレクトをトリガーする。
なぜここで検出が苦戦するのか
シグネチャ、パターン・ルール、静的コード検査といった従来のアプローチは、攻撃者が攻撃を仕掛けてきたときに失敗する:
- Base64、XOR、ジャンクテキストパディング、ポリモーフィックテンプレートで難読化する。
- 実行時まで実行を延期する(例:onload)ため、静的解析が信頼できなくなる。
- イベントハンドラや外部参照のような正当な SVG 機能の背後にあるロジックを隠す。
興味深い事実
HTTPアーカイブのデータによると、SVGはトップ1000のウェブサイトの92%でアイコンやグラフィックに使われている。
"アクティブならリスキー"
Deep CDR™ Technology for SVG
Deep CDR™ Technology, one of the core technologies that powers MetaDefender Core, doesn’t try to guess what is malicious. It assumes any executable or active content in untrusted files is risky and removes or sanitizes it.
SVGの場合、それはつまり
- Remove JavaScript: Strips out any <script> elements and inline scripts to prevent code execution.
- CDATAを削除:有害なロジックを埋め込む可能性のあるCDATAセクション内の隠れたコードを削除します。
- インジェクションを削除します:悪意のあるプログラムを実行する可能性のある注入されたコンテンツをブロックします。
- 画像を処理します:埋め込み画像を再帰的にサニタイズし、外部画像を削除します。
- 正規化と再構築:安全な視覚要素のみを含む標準に準拠した SVG を作成します。
- オプションでラスタライズ:ベクターのインタラクティブ性を必要としないワークフローのために、SVGをPNGまたはPDFに変換します。
このアプローチはセキュリティガイダンスと一致している:コードの実行を防ぐためにSVGをサニタイズするかサンドボックス化する(あるいはラスタライズする)。
Top Use Cases with Deep CDR™ Technology
メールゲートウェイ
配信前に、受信した添付ファイルやリンクされたファイル(ダウンロードによって解決されたURL)をサニタイズします。クリーンなSVGに変換されたSVGは、クレデンシャル・ハーベスターのレンダリングやダウンローダーの発火を防ぎます。
コラボレーション・プラットフォーム
Apply Deep CDR™ Technology to files shared through tools like Teams, Slack, or SharePoint. Sanitizing SVGs here ensures that no hidden login screens or malicious scripts can trick users during everyday collaboration.
ウェブ・アップロード・ポータル
Webサイト、CMS、デジタルアセット管理システムにアップロードされるすべてのファイルにサニタイズを適用します。これにより、攻撃者が一見シンプルなロゴやグラフィックの中に有害なコードを隠すことを防ぎます。
ファイル転送とMFT Managed File Transfer
Integrate Deep CDR™ Technology into file transfer workflows so every file, especially those from partners or vendors, is safe to use before entering your network. This reduces supply chain risks from compromised assets.
ビジネスインパクト
SVGのサニタイズを無視すると、次のようなことが起こりうる:
- クレデンシャルの盗難:偽のログインページでユーザー認証情報を採取する。
- マルウェア感染:リダイレクトチェーンがランサムウェアやステアラーを配信。
- コンプライアンス違反:機密データに関わる違反は、罰金や風評被害を引き起こす可能性がある。
SVGベースの攻撃を防ぐためのベストプラクティス
- デフォルトのスタンス:信頼できないソースからの SVG に JavaScript を使わない。
- Sanitize or rasterize: Apply Deep CDR™ Technology to all inbound SVG files.
- CSPとの併用:プライマリ・コントロールとしてではなく、ディフェンス・イン・デプスとして使用する。
- 監査とログ:コンプライアンスとフォレンジックのために、すべてのサニタイズ操作を追跡します。
おわりに
SVG-based phishing is not theoretical, it’s happening now. Detection-based tools can’t keep up with evolving obfuscation techniques. Deep CDR™ Technology offers a deterministic, zero-trust approach, removing the risk before it reaches your users.
