SVGファイル添付メールに注意!画像ファイルのフリをしたメールフィッシングの危険性
公開日:
※当サイトはアフィリエイトプログラムを利用しています。
「添付ファイルをご確認ください」たったそれだけのシンプルなメールがあなたの元に届きます。
添付されているのファイルが「.svg」だった場合、そこには危険が潜んでいるかもしれません。
SVGとは?
SVG(Scalable Vector Graphics)は、Webサイトで広く使われている画像フォーマットの一種。
JPGやPNGと大きく違うのは、ピクセルデータではなくXML形式のテキストコードで構成されている点。
テキストコードなのでSVG内の文字をドラッグしてコピーできるといった特徴があります。
ファイルを開いただけでブラウザが起動し、偽のログイン画面へ自動転送。
IDやパスワードを入力してしまえば、その瞬間に認証情報が詐欺師へ渡るのです。
この記事では、SVGフィッシングの最新動向、具体的な攻撃の流れ、HTMLメール詐欺との違い、そして実践的な対策を詳しく解説します。
SVGファイルを使ったフィッシング急増の理由
Hoxhuntが2025年から2026年初頭にかけて収集した数百万件のフィッシングメールを分析した報告書によると、悪意あるSVG添付ファイルは前年比50倍増に。
SVGは現在、悪意ある添付ファイル全体の約5%を占め、PDF・HTMLに次ぐ第3位の悪性ファイル形式となっているのです。
あわせて読みたい
PDFファイル添付メールに注意!フィッシング詐欺やマルウエア感染の危険性
Microsoftは2025年9月、XSS(クロスサイトスクリプティング)攻撃への悪用増加を受けてインラインSVG画像の表示を停止する対応を取っています。
ただしSVGの添付ファイルとしての送受信は現在も可能であり、攻撃手法としての有効性は失われていません。
QRコードとの交代劇
SVGフィッシングが2025年に急増した背景には、攻撃者の手法のローテーションがあります。
悪意あるQRコードを使ったフィッシングが減少傾向に転じる一方で、SVGを使ったフィッシングが急速に台頭しているという流れがセキュリティ各社の報告から浮かび上がます。
QRコードフィッシングへの対策、メールフィルターによる画像内URL検出などが普及し始めたことで、攻撃者が次のフィルターの死角を探した結果、SVGに行き着いたという構図なんですね。
攻撃者の論理はシンプルで、「検出されにくいフォーマットを使い回し、対策が追いついたら次のフォーマットに移る」。SVGはその現時点での回答にすぎないとも言えます。
SVGフィッシングの仕組み
攻撃の流れ。
「請求書」「荷物の配達状況」「セキュリティ通知」などを装ったメールにSVGファイルが添付されて届く
⬇️
受信者がファイルをダブルクリックすると、ブラウザが起動してSVGを開こうとする
⬇️
その瞬間、埋め込まれたJavaScriptが実行され、銀行・Amazon・Microsoft 365などの偽ログイン画面へ自動転送される
⬇️
表示された画面でIDやパスワードを入力してしまうと、認証情報が詐欺師の手に渡る
攻撃者はJavaScriptのペイロードをBase64やXORキーで難読化・暗号化してSVG内に埋め込みます。
ファイルが開かれると、隠された関数がコードをメモリ上で復号して実行する仕組みで、セキュリティフィルターによる検知を回避。
- JavaScriptとは
- ブラウザに直接命令を出して、何でも実行させられるという非常に強力なパワーを持っています。
今回の場合なら「Base64やXORで隠されている暗号データを、今すぐこのパソコンの中で組み立てて復元しろ」という命令(プログラム)がこれに当たります。 - Base64とは
- プログラムコードや画像などのあらゆるデータを、アルファベット(A〜Z、a〜z)と数字(0〜9)、一部の記号(+, /, =)だけの文字列に変換する仕組みです。
ルール(変換表)さえ知っていれば誰でも一瞬で元の文字に戻せるため、暗号というよりは中身を分かりにくくするための技術として使われます。 - XOR(エックスオア)キーとは
- コンピューターの基本的な計算(排他的論理和)を使ったシンプルな暗号化の手法です。
元のコードに、攻撃者が決めたXORキー(例えば「A」という1文字など)をかけ合わせることで、元のプログラムを全く別の規則性のないデータに化けさせます。
このデータに、もう一度同じ鍵「A」をかけ合わせると、一瞬で元の綺麗なプログラムに戻るという性質を持っています。
フィッシングとしての巧妙さ3点
- ①画像のフリで警戒を外す
「メール内のリンクは踏まない」という意識が広まった今、添付ファイル経由というルートは盲点になりやすい。
ファイルを開くだけなら安全という誤認が入り口になります。 - ②URLフィルターを素通りする
詐欺サイトのURLはSVGコードの内部に隠されているため、メール本文には怪しいリンクが存在しないということになります。
メールセキュリティシステムによるURLチェックをすり抜けて受信箱に届くことに。 - ③自動リダイレクトでユーザーを混乱させる
「開いたら飛ばされた」という状況は、ユーザーが能動的にURLを踏んだわけではないため、偽サイトであることへの疑念が薄れやすい。
HTMLメール詐欺とSVGフィッシングの違い
HTMLメール詐欺は当サイトでも何度も実例を掲載してきたタイプで、この画像のようにメール本文内に、タップする「ボタン」として存在する場合がほとんど。
ボタンをタップするとフィッシングサイトに移動。
SVGフィッシングの場合、SVGはあくまで添付ファイルとして存在し、開かないと中身は見えません。
SVGを利用したフィッシングメールは手元にないので、SVGのサンプルを作りました。
「三菱UFJ銀行より重要なお知らせ」などの件名で、あなたの元にメールが届く
本文は「添付ファイルをご確認ください」程度のシンプルな一文のみ
⬇️
添付の .svg ファイルをタップ
⬇️
その瞬間請求書風の画面が表示される
⬇️
赤いボタンの「ご本人確認はこちら」を押すと偽サイトへ
※上の画像はSVGコードをそのまま書くと、既存のCSSと干渉するため画像でしか機能していません。そのため「ご本人確認はこちら」は押せません。
中のSVGコードはこんな風になっていて、ボタンに重ねたリンクが
https://mufg-bank-secure.account-verify.ru
といった、三菱UFJ銀行とは関係ないけど「mufg-bank-secure」という字面で、本物の三菱UFJ銀行でセキュリティっぽく見せています。
詐欺師としては、偽サイトに移動したと、極力気取られたくありませんからね。
<svg xmlns="http://www.w3.org/2000/svg">
<!-- 請求書の見た目 -->
<rect x="136" y="338" width="248" height="32" fill="#cc0000" rx="3"/>
<text x="260" y="359" fill="white" text-anchor="middle">
ご本人確認はこちら →
</text>
<!-- ボタンに重ねたリンク -->
<a href="https://mufg-bank-secure.account-verify.ru/login?token=xK9mP2">
<rect x="136" y="338" width="248" height="32" opacity="0"/>
</a>
</svg>
| 比較項目 | HTMLメール詐欺 | SVGフィッシング |
|---|---|---|
| 最大の罠の置き場所 | メール本文のボタンやリンク | 添付ファイル(SVG)の内部コード |
| メール本文の見た目 | 派手で公式そっくり(視覚的欺瞞) | 地味、または「詳細は添付を」と促すだけ |
| セキュリティの検知 | 比較的見破られやすい(URLでバレる) | 非常に見破られにくい(画像に化けている) |
| 被害に遭うタイミング | 本文のリンクを「クリックした時」 | 添付ファイルを「開いた時」 |
マルウェアに感染する場合も
単純なフィッシングページへの誘導にとどまらない事例も報告されています。
IBM X-Forceが2025年を通じて追跡した事例では、SVGに埋め込まれたJavaScriptがZIPアーカイブを展開し、さらにJavaベースのローダーをダウンロード、最終的にBlue Banana RAT・SambaSpy・SessionBotといったリモートアクセス型マルウェア(RAT)を感染させる多段階攻撃が確認されています。
通信にはAmazon S3やTelegramが悪用されており、正規トラフィックへの偽装を図っています。
個人ユーザーが狙われるパターン
個人を狙ったバラマキ型のSVGフィッシングの典型的な偽装先は以下の通り。お馴染みのサービス名を悪用しています。
- ⚠️宅配業者(ヤマト・佐川・日本郵便)の「お届け確認」
- ⚠️通販サイト(Amazon・楽天)の「アカウント更新」「支払いエラー」
- ⚠️携帯キャリア・電力会社の「料金案内」
- ⚠️Apple ID・Googleアカウント・Microsoftアカウントのセキュリティ通知
個人のフリーメール環境(GmailやYahoo!メール)は企業ほどの防御層がなく、フィルターをすり抜けたSVGファイルが手元に届きやすい状態。
日本語でローカライズされた攻撃を確認済み
Sophosの報告では、受信者のトップレベルドメインに基づいてターゲットの言語を切り替える仕組みが確認されています。
日本の学術機関を標的にしたSVGフィッシングメールは件名・本文ともに日本語で作成され、偽のDropboxログイン画面も日本語にローカライズされていたことが判明。
これは「海外発の話」ではなく、日本語環境に合わせて作られたSVGフィッシングがすでに国内に届いていることを示しています。
完璧な日本語表現
日本のビジネスパーソンや個人が日常的に受け取るメール(DropboxやSharePointなどの共有通知、ボイスメールの通知など)の文面が、違和感のない完璧な日本語で作成されています。
ターゲットに合わせた偽画面の出し分け
メールを受け取った相手のメールアドレス(ドメイン)を自動判別。
例えば、日本の組織や企業のアドレスだと分かると、自動的に日本語に完全に翻訳された、本物そっくりのDropboxなどのログイン画面を表示させます。
AIの悪用
翻訳と文脈作成の超高精度化
攻撃者が日本語を話せなくても、ChatGPTやClaude、あるいは翻訳AI(DeepLなど)に「日本のビジネスでよく使われるファイル共有の通知文を作って」と指示すれば、一瞬で完璧な偽の文面や、偽サイト内の日本語案内テキストが完成します。
これで「言葉の壁」による違和感が完全に消え去りました。
ローカライズ作業の高速化
AIを使えば、日本向けだけでなく、フランス向け、ドイツ向けなど、ターゲットの国に合わせた「文面」や「偽の画像・ロゴの配置」のパターンを何通りも自動で、かつ大量に生成できます。
Sophosが「多言語のユーザーを標的にしている」と指摘した背景には、このAIによる量産体制があります。
SVGファイルを使ったフィッシング対策
「開かない」「入力しない」「URLを確認する」の三点が最も有効な対策。
開かない判断が最優先
SVGファイルは通常のビジネス文書でやり取りされる形式ではありません。
送信元が信頼できる相手であっても、SVG添付ファイルを受け取ったら、その相手に送信したかどうかを別の手段で確認するまで開かないことが基本です。
もし開いてしまったら
ログイン画面には何も入力しない
ログインが必要な場合は、その画面を閉じ、ブックマークや公式アプリから直接アクセスし直す。
パスワードマネージャーを使っている場合、正規ドメインでなければ自動入力されないため、フィッシングサイトの検知に有効です。
ブラウザ・OSのアップデート
SVG内のスクリプトはブラウザの脆弱性を突いて実行されることが多いため、ブラウザ・OSの最新版を維持することでリスクを減らせます。
URLバーの確認
ファイルを開いた後に何かのログインを求められたら、必ずアドレスバーのURLを確認。見覚えのないドメインや不自然な文字列があれば即閉じましょう。
常に疑いを持つ
システムによる自動検知をすり抜けるためにAIや最新技術が使われている以上、最終的には人間の「あれ? 何かおかしいぞ」という疑いの目こそ最強のセキュリティ対策になります。
「変な感じがする」という違和感は、これまであなた自身が培ってきた経験や知識を元に、脳が発する危険信号。第六感です。
その感覚は間違っていない、あなた自身の判断は正しいのですよ。
SVGファイル添付の時点でアウト
技術的に、メールにSVGファイルを添付しての送受信自体は可能です。
でも、あなたはSVGファイルが添付されたメールを受信したことがありますか?
GmailやOutlookなどの多くのメールサービスや、企業のウイルス対策サーバーは、セキュリティリスクが高すぎるため、SVGファイルが添付されているだけで受信を拒否したり、自動的に迷惑メールフォルダに振り分けられたり、添付ファイルを消去して届けるような設定にしています。
私たちが普通に送ろうとしても、相手に届かないことが多いんですね。
送っても途中で弾かれる可能性が非常に高く、そもそも不便で、お互いにそんな送り方をしないという理由から、私たちが日常や仕事のメールで本物のSVG添付ファイルを目にすることは「まずあり得ない」と言えます。
したがって、あなたの受信箱にSVGファイルが添付されたメールがもし届いたとしたら、それはセキュリティの隙間を縫ってきた100%悪意のある罠だと断定して全く問題ありません。
本来なら届かないはずのものが届いているということは、「敵が一枚上手で、セキュリティソフトの裏をかいて突破してきたんだな」と捉えるのが正解。
システムが完璧ではないからこそ、私たちの知識と健全な疑いが最大の防御になるのです。
あわせて読みたい
フィッシング被害に遇ったら?フィッシングを防ぐ確実な方法とは