AIツール『Vectorizer.AI』の安全性について解説！SVGファイルって危険？

「Vectorizer.AI(ベクトライザー・エーアイ)」(公式サイト：https://ja.vectorizer.ai/)とは、いわゆるラスター画像（JPEG、PNGなど）をベクター形式に変換するためのAIベースのツールです。

巷では、このAIツールの安全性が議論されているみたいです。

今回の記事では、「Vectorizer.AI」の安全性について検証していきます！

※「Vectorizer.AI」について詳しく知りたい方は、以下の記事をご覧ください。

Vectorizer.AIの安全性は？

結論から申し上げますと、「Vectorizer.AI」自体の安全性については全く何の問題もないのです！

では、なぜ安全性が議論されているのかといいますと、

ベクター形式のファイルいわゆるSVG形式のファイルが危険なのではないか？と言われているのです。

ではここからは、なぜSVGファイルの危険性が謳われているのかについてご説明していきます。

まずSVGファイルって何？という方のために軽く説明しておきます。

SVGファイルとは、特別な画像の形式の一つで、普通の画像と違って拡大してもぼやけないのが特徴です。この形式は、数学的な方法で線や形を描いているため、どんな大きさにしてもクリアな画像を保てます。

ウェブサイトやアプリでよく使われ、色や形が綺麗なイラストやロゴに適しています。また、動く画像を作ることもできますよ。

なぜSVGファイルの安全性が議論されるきっかけになったのかといいますと、twitter(現：X)で以下の記事が紹介されたことにあります。

Scriptless Attacks – Stealing the Pie without touching the Sill from Mario Heiderich

この記事を要約しますと、

SVGの仕組みを利用すると、スクリプトを使うことなく悪さが行われてしまう

という内容になっています。

制約がある状況や特定の環境下ではあるものの、パスワードの取得やキーストロークの監視などの可能性について考察されています。

この記事を読んだことで、SVGファイルへの不安を感じた人が多くいたそうです。

先程も少しご紹介しましたが、SVGファイルは、セキュリティ上の問題があります。この形式のファイルは、ただの画像ではなく、小さなプログラムのようなものです。そのため、悪意のある人がこのファイルに危険なコードを隠すことができてしまうのです。

例えば、とある攻撃の例では、SVGファイルに隠された悪いコードが、ファイルを開いた人のコンピューターで勝手に動き出します。これにより、その人の個人情報が盗まれたり、ウェブサイトが改ざんされたりする可能性があります。

また、SVGファイルは外部のデータを引っ張ってくることができるため、それを悪用してウェブサイトを遅くしたり、サーバーに負担をかけたりする攻撃もあります。

多くのユーザーがこのリスクに気づかない中で、SVGを熟知したハッカーが危険なSVGコードを広めるリスクが存在します。この問題はSVG自体の欠陥ではなく、私たちの認識次第で、SVGが元々持つリスクを不意に拡大させてしまう可能性があるということなのです。

今までに、SVGファイルを使って悪用された例には以下のようなものがあります。

クロスサイトスクリプティング（XSS）攻撃:
- SVGファイルに悪意のあるJavaScriptコードを埋め込む。
- ユーザーがそのSVGファイルを開くと、コードが実行されて、個人情報が盗まれたり、ウェブサイトが改ざんされたりする。
マルウェア配布:
- SVGファイルにウイルスやスパイウェアなどのマルウェアを仕込む。
- ユーザーがファイルをダウンロードして開くと、マルウェアがコンピューターに感染する。
フィッシング詐欺:
- 正規に見えるSVG画像に隠されたリンクを使って、ユーザーを偽のウェブサイトに誘導する。
- この偽サイトでユーザーが個人情報を入力すると、情報が盗まれる。
サービス拒否攻撃（DoS攻撃）:
- SVGファイルが外部サーバーから大量のデータを要求するよう設定される。
- これにより、対象のサーバーが過負荷になり、正常に機能しなくなる。