はじめに
マイクロソフトは、攻撃に悪用されるインラインSVG画像の表示を、Outlook for Webおよび新しいOutlook for Windowsで停止すると発表しました。この変更は2025年9月上旬から世界中で展開が開始されており、2025年10月中旬までに全ユーザーへの適用が完了する見込みです。
変更の詳細と影響
今回の変更により、インラインSVG画像はOutlook上で表示されなくなり、代わりに空白のスペースが表示されます。マイクロソフトは、この変更が全メール画像の0.1%未満に影響すると予測しており、実際のユーザーへの影響は最小限に抑えられるとしています。一方で、クラシックな添付ファイルとして送信されたSVG画像は引き続きサポートされ、添付ファイルとして表示・閲覧が可能です。
このアップデートの主な目的は、クロスサイトスクリプティング(XSS)攻撃などの潜在的なセキュリティリスクを軽減することにあります。
SVG悪用の現状
過去数年間、悪意のあるアクターはSVG(Scalable Vector Graphics)ファイルをマルウェアの展開やフィッシングフォームの表示に広く悪用してきました。Tycoon2FA、Mamba2FA、Sneaky2FAといったPhaaS(Phishing-as-a-Service)プラットフォームによって、この特定のドキュメント形式を利用したフィッシング攻撃が大幅に増加しています。
例えば、Trustwaveは2025年初頭から2024年4月にかけて、SVGベースのフィッシング攻撃が1800%も増加したと報告しており、攻撃者がこの形式をいかに積極的に利用しているかが浮き彫りになっています。
マイクロソフトの広範なセキュリティ強化策
今回のOutlookにおけるインラインSVG画像の表示停止は、マイクロソフトが顧客を標的とした攻撃に悪用されてきたOfficeおよびWindowsの機能を削除または無効化する広範な取り組みの一環です。これまでの主なセキュリティ強化策には以下のようなものがあります。
- 2025年6月:Outlook Webおよび新しいOutlook for Windowsで、政府機関を標的とした攻撃に悪用されてきた
.library-msおよび.search-msファイルタイプのブロックを開始。 - 2018年以降:Office 365クライアントアプリにおけるOffice VBAマクロを使用した攻撃をブロックするため、Antimalware Scan Interface(AMSI)のサポートを拡大。
- VBA Officeマクロのデフォルトブロック。
- XLMマクロ保護の導入。
- Excel 4.0(XLM)マクロの無効化。
- 信頼されていないXLLアドインのMicrosoft 365テナント全体でのデフォルトブロック。
- 2025年4月:Windows版Microsoft 365およびOffice 2024アプリにおける全ActiveXコントロールの無効化(2024年5月の発表に続く)。
- 2024年後半:VBScriptの非推奨化。
これらの継続的な対策は、進化するサイバー脅威からユーザーを保護するためのマイクロソフトの強いコミットメントを示しています。