IT用語集 2024/11/20

HTMLスマグリングとは？ 10分でわかりやすく解説

コラム

HTMLスマグリングは、HTMLとJavaScriptの正規機能を使い、受信時や閲覧時には無害に見えるデータから、ブラウザ内で最終的なファイルを組み立てて保存させる配布手法です。境界で見えるのがHTMLやテキストだけになりやすいため、添付ファイルの拡張子やシグネチャだけに頼る運用では取りこぼしが出ます。

読み手が先に押さえたいのは、HTMLスマグリングは「マルウェアそのもの」ではなく、マルウェアを端末へ届けるための手口だという点です。多くの事例では、HTMLを開いたあとに生成されたZIPやISO、スクリプト、ショートカットなどを利用者がさらに開くことで侵害が進みます。したがって、対策もメール遮断だけで終わらず、端末側の検知、実行制御、利用者教育まで含めて組む必要があります。

HTMLスマグリングとは何か

定義

HTMLスマグリングとは、HTMLファイルやWebページの中へエンコード済みデータを埋め込み、JavaScriptで復元してローカルへ保存させる攻撃手法です。攻撃者は、Base64で分割したデータや取得先情報をHTMLへ埋め込み、ブラウザの標準APIを使ってダウンロード用ファイルを生成します。ネットワーク上では最終ペイロードがそのまま流れにくいため、境界装置が「危険な実行ファイルの受信」を直接観測しにくくなります。

従来の配布手法との違い

従来のメール経由の配布では、実行ファイル、マクロ付き文書、スクリプトファイルを直接添付する形が多く見られました。この場合は、ファイル形式、拡張子、既知シグネチャで止めやすい場面があります。これに対しHTMLスマグリングでは、境界を通る段階ではHTMLやテキストに見え、危険なファイルは端末側で初めて組み立てられます。違いはここにあります。

HTMLスマグリング自体は脆弱性悪用ではない

HTMLスマグリングは、単体でクロスサイトスクリプティングやクロスサイトリクエストフォージェリのような脆弱性を直接突く類型ではありません。HTMLとJavaScriptの正規機能を悪用してファイル配布を隠す手口です。ただし、正規サイトが改ざんされている、入力不備でスクリプト注入ができる、広告配信が悪用される、といった条件が加わると、他の攻撃と組み合わさって配布拠点になり得ます。

誤解しやすい点

HTMLを開いた瞬間に必ず感染するとは限りません。多くの事例では、その後に生成されたファイルを利用者が開く工程があります。
HTMLが無害という意味ではありません。境界で見えにくいだけで、端末側では不審なファイル生成や実行が起こり得ます。
添付HTMLだけを止めれば十分とも言えません。リンク経由でHTMLスマグリング用ページへ誘導する型もあります。

HTMLスマグリングの仕組み

典型的な流れ

攻撃者が悪意あるHTMLファイル、またはHTMLページを用意する。
HTML内へエンコード済みデータ、分割データ、取得先情報などを埋め込む。
JavaScriptでデータを復元し、ブラウザ内でファイルオブジェクトを作る。
ダウンロード用リンクや一時URLを生成し、利用者へZIPやISOなどを保存させる。
利用者が保存済みファイルを展開、実行すると、次段のマルウェアが動く。

この流れでは、ゲートウェイやプロキシが見ているものと、端末上で最終的に実行されるものが一致しにくくなります。従来の「危険な添付ファイルを止める」前提が崩れやすい理由はここです。

悪用されるブラウザ機能

代表的には、Blob、Data URL、URL.createObjectURL()、<a download> などの機能が使われます。いずれも正当な用途を持つAPIであり、機能自体が不正というわけではありません。問題は、これらを組み合わせると、HTMLの中に埋めたデータからローカルでファイルを生成できる点にあります。

なぜ境界防御だけでは足りないのか

境界装置が得意なのは、送受信されるファイルや通信内容の検査です。HTMLスマグリングでは、受信時点ではまだ最終ファイルが存在しないため、検査対象が曖昧になります。さらに、難読化や分割エンコードが入ると、静的解析だけでは意図を読み切れない場面が出ます。したがって、メール、Web、端末、利用者行動をまたぐ多層防御で見る必要があります。

代表的な攻撃シナリオ

HTML添付を使ったフィッシング詐欺

もっとも分かりやすいのは、請求書、支払通知、アカウント警告などを装ったメールです。利用者が添付HTMLを開くと、ブラウザ内でZIPやISOが生成され、「内容確認のため展開してください」と促される流れが使われます。境界ではHTML添付に見え、端末では新しいファイルが生成されるため、監視点が分かれます。

リンク経由の誘導

メール、チャット、SMSなどへURLを記載し、HTMLスマグリング用ページへ誘導する型もあります。SMSを使う場合はスミッシングとして扱う方が整理しやすくなります。リンク先でログイン画面を装いながらファイル生成を進めると、利用者は「ログイン手続きの一部」と誤認しやすくなります。

正規サイトや広告配信の悪用

自社や取引先の正規サイトが改ざんされ、そこから不正なHTMLやスクリプトが配信される場合もあります。あるいは広告配信や埋め込みコンテンツ経由で別ページへ飛ばされる場合もあります。この型では、利用者にとって見慣れたドメインや画面から始まるため、URL確認だけでは見抜きにくくなります。

HTMLスマグリングがもたらす被害

認証情報と業務データの持ち出し

HTMLスマグリングの次段で、インフォスティーラや RAT が入ると、ブラウザ保存情報、業務ファイル、VPNやリモート接続の認証情報が狙われます。これにより、端末一台の侵害で終わらず、クラウドサービスや社内システムへの横展開につながることがあります。

ランサムウェアの初期侵入

HTMLスマグリングは、調査用マルウェア、権限昇格ツール、最終段のランサムウェア本体へつなぐ初期侵入としても使われます。HTMLを開いた時点で被害が確定するわけではないものの、生成されたファイルの実行を許すと、以後は攻撃者の手順で内部侵害が進みやすくなります。

監視の難しさ

検知を難しくする要因は、実行ファイルが最初から流れないことだけではありません。利用者操作を前提にしているため、自動解析環境で再現しにくい、HTML内データが難読化される、ダウンロードと実行が時間差で起こる、といった点も障害になります。監視では、単一イベントより相関を見る方が合います。

対策の優先順位

1. HTML添付と不審リンクの扱いを決める

業務でHTML添付が不要なら、まず禁止または隔離対象にした方が扱いやすくなります。必要な場合でも、送信元の制限、自動解析、警告表示は最低限そろえたいところです。リンク経由の型もあるため、URLフィルタリングとリンク先評価も合わせて見直す必要があります。

2. 端末側で「生成された後」を拾う

端末上では、HTML閲覧の直後にZIP、ISO、JS、LNKなどが作られ、その後すぐ実行される挙動が目印になります。EDR を使い、ブラウザやメールクライアントの後続挙動、ダウンロードフォルダ配下の新規実行、親子関係の不自然さを見た方が見逃しが減ります。実行制御や標準ユーザー運用も、この段で効きます。

3. ゲートウェイでは「HTMLだから安全」と見なさない

メールやWebのゲートウェイでは、HTML添付、外部送信者からのHTML、難読化スクリプト、埋め込みデータ量の多いページを丁寧に扱う必要があります。サンドボックスで利用者操作をある程度再現できるなら、添付HTMLや遷移先ページの評価精度が上がります。

4. 自社Webアプリを配布拠点にしない

自社サイトや業務アプリが改ざんやスクリプト注入の踏み台になると、HTMLスマグリングの配布拠点になります。ここでは、ファイルアップロードの制限、出力エスケープ、入力検証、不要なHTML配信の見直しが先に来ます。さらに、CSPはクロスサイトスクリプティングの抑止に役立ち、frame-ancestors や X-Frame-Options はクリックジャッキングの抑止に使えます。X-Content-Type-Options: nosniff は、スクリプトやスタイルのMIME解釈を厳格にする設定です。ただし、これらは「利用者がローカルで開いた悪意あるHTML添付」そのものを直接無力化する設定ではありません。役割は、自社アプリ側の悪用余地を減らすことにあります。

5. 利用者教育を残す

HTMLスマグリングは、最後に利用者の操作を使う場面が多くあります。HTML添付、心当たりのないZIPやISO、ログイン画面と同時に始まる不審なダウンロード、展開や実行を急がせる指示は、教育の重点項目に入れるべきです。教育内容は「開くな」だけでは足りません。「止める」「報告する」「自分で続きを判断しない」の3点まで明示した方が機能します。