SVGファイルを悪用したフィッシング詐欺やマルウェア拡散が増加、海外メディアが警鐘

　SVGファイルを悪用したフィッシング詐欺やマルウェア拡散の手口が増加していることを、海外メディアが報じている。

　SVG（Scalable Vector Graphics）は画像フォーマットの一種だが、ファイルの中身はXML形式のテキストデータであり、HTMLやJavaScriptのコードを実行させることも技術的には可能だ。海外メディア「BleepingComputer」によると、セキュリティソフトでの検出を回避するために、SVGフォーマットのメール添付ファイルを悪用したフィッシング詐欺やマルウェア拡散が増加しているという。具体的には、フィッシングサイトへのリンクを仕掛けてユーザーを偽サイトに誘導してログイン情報などを盗んだり、公式文書や情報提供を装ったSVGファイルにマルウェアをダウンロードさせるリンクを仕込んだり、SVGファイルを開くとJavaScriptによってフィッシングサイトに自動的に転送されたりといった具合だ。SVGはテキストベースの画像ファイルであるため、BleepingComputerではセキュリティソフトで検知されにくいと指摘。不審なSVGファイルが添付されたメールを受信した場合は安易に開かずに削除するよう注意を呼び掛けている。

• Phishing emails increasingly use SVG attachments to evade detection（BleepingComputer）
  https://www.bleepingcomputer.com/news/security/phishing-emails-increasingly-use-svg-attachments-to-evade-detection/