クマひよ工房

SVG画像を悪用した新しいフィッシング攻撃

by

クマひよ工房
in ,

はじめに

最近のセキュリティレポートで非常に気になる攻撃手法が報告されているので、今回はその内容をEC-CUBEを運用されている皆さんに共有したいと思います。

新しい脅威:SVG画像に隠された悪意のあるJavaScript

従来のフィッシング攻撃は明らかに怪しいリンクなどを使用していましたが、最近の攻撃者はSVG画像ファイルに悪意のあるJavaScriptを埋め込むという、より巧妙な手法を使用しています。

SVGは通常無害な画像フォーマットとして認識されがちですが、実際にはスクリプトを含むことができます。
この特性を悪用すると、以下のような特徴の攻撃を仕掛けることが可能です。

  • ゼロクリック攻撃: 「注文確認」「配送通知」「支払い通知」などEC-CUBEサイトで日常的に扱うメールを装った攻撃
  • 自動実行: メール受信者が画像を開いた瞬間に、追加のクリックなしでJavaScriptを実行
  • 検出回避: 従来のセキュリティツールでは「単なる画像ファイル」として見逃されやすい

特に危険:自社サイトを装ったメールマガジン攻撃

最も懸念しているのは、自社のECサイトのメールマガジンを装った攻撃です。
このパターンでは:

  • 攻撃者が自社のメールマガジンのデザインを完全に模倣
  • 「新商品入荷!」「限定セール開催中」などの魅力的な件名でメールを送信
  • 商品リンクをクリックした後に表示される商品画像が実際にはSVGファイルで、悪意のあるJavaScriptが含まれる
  • 商品画像を表示した瞬間に攻撃が実行される
  • 顧客が信頼している自社ブランドのため、警戒心が薄れる

この手法の恐ろしい点は、顧客が完全に信頼している自社からのメールだと思い込むことです。
通常のフィッシングメールより遥かに成功率が高いと予想されます。

EC-CUBE運用における具体的なリスク

私がEC-CUBEサーバーを運用していて特に懸念しているのは、以下のような攻撃シナリオです:

1. 管理者アカウントの乗っ取り

  • 「システム更新通知」や「売上レポート」を装ったメールで管理者を騙す
  • 管理者が悪意のあるSVG画像を開くと、EC-CUBE管理画面への不正アクセス用のクッキーや認証情報が窃取される可能性

2. 顧客情報の漏洩

  • 顧客管理画面にアクセス中の管理者が攻撃を受けると、顧客の個人情報や注文履歴が漏洩するリスク
  • 特にEC-CUBEでは顧客の住所、電話番号、購入履歴などの機密データを扱うため、影響は甚大

3. 決済システムへの侵入

  • 決済プラグインの設定情報や決済ログにアクセスされる可能性
  • 偽の決済処理を実行され、売上金が攻撃者に転送される危険性

4. サイト改ざんとマルウェア配布

  • 攻撃者がEC-CUBEのファイルシステムにアクセスし、商品ページや決済ページを改ざん
  • 顧客がサイトを訪問した際に、マルウェアが配布される可能性

実際の運用で感じる脅威の深刻さ

私の経験では、EC-CUBEサイトは以下の理由で特に標的にされやすいと感じています:

  • 高価値な標的: 顧客データと決済情報の両方を持つため、攻撃者にとって魅力的
  • 中小企業の運用: 大企業に比べてセキュリティ体制が手薄になりがち
  • プラグインの脆弱性: 多数のプラグインを使用することで、攻撃面が広がる

実装すべき対策

以下の対策を推奨します:

メールセキュリティの強化

  • SPF、DKIM、DMARCの実装: なりすましメールを防ぐ基本的な対策
  • SVG添付ファイルのブロック: メールサーバー設定でSVGファイルの添付を禁止(もしくはJavascriptの実行を無効化)
  • 外部画像の自動読み込み無効化: メールクライアントで外部画像の自動表示を停止

EC-CUBEサーバー側の対策

  • 管理画面のIP制限: 管理画面へのアクセスを特定のIPアドレスのみに制限
  • 二要素認証の導入: 管理者ログインに追加の認証要素を設定
  • 定期的なバックアップ: 攻撃を受けた場合の迅速な復旧体制の整備

運用面での注意点

  • 怪しいメールの即座削除: 「注文確認」「配送通知」などを装ったメールは送信者を慎重に確認
  • 管理者教育: 組織全体でこの脅威を共有し、注意喚起を徹底
  • 定期的なセキュリティ監査: ログの確認と異常な動作の早期発見 (一般的にはコスト高になります)

まとめ

EC-CUBEサイトを運用する私たちにとって、この新しいSVG攻撃は従来の脅威よりも深刻な問題です。
「画像ファイルは安全」という思い込みを捨て、すべての受信ファイルを潜在的な脅威として扱う必要があります。

特に年末年始や大型セールの時期には、「注文急増の通知」や「システム障害の報告」など、EC-CUBEサイト運用者が反応しやすい内容でのフィッシング攻撃が増加する傾向があります。

今回紹介した対策を実装し、サイト運用チーム全体でセキュリティ意識を高めることが、お客様の大切なデータと事業を守る鍵となります。