Google カレンダーのなりすまし:攻撃者がフィッシング詐欺に使用する方法

ブログ

Googleカレンダーのなりすましは、偽の招待状でユーザーを騙す最新のフィッシング手口です。その手口と詐欺から身を守る方法をご紹介します。

byMilena Baghdasaryan

読書時間 8
Google カレンダーのなりすまし:攻撃者がフィッシング詐欺に使用する方法
目次-

ここ数カ月、サイバーセキュリティの専門家たちは、フィッシング詐欺の巧妙な手口である「Googleカレンダーなりすまし」に対する懸念を強めている。この複雑で巧妙な攻撃では、攻撃者は、招待者をフィッシング・ウェブサイトにリダイレクトさせる、合法的に見えるが偽のミーティング招待状を送る。これらのサイトはGoogleの公式プラットフォームと非常によく似ているため、これらの攻撃はさらに危険であり、ユーザーに機密情報を入力させたり、悪意のあるリンクをクリックさせたりする。

チェック・ポイントの研究者は最近、ハッカーが300の組織を標的に4,000件以上のカレンダー招待メールを送信し、Googleカレンダーになりすます手口を発見しました。 4,000件以上のなりすましカレンダー招待を送信していたことが明らかになりました。このような大規模な事例から、Google Calendar へのなりすましがいかに危険であるか、また、このような攻撃を検知し、防止することが不可欠であることがわかります。

主なポイント

  • サイバー犯罪者はGoogleカレンダーの機能を利用し、正規の招待メールに見せかけたフィッシングメールを送信する。
  • グーグルカレンダーは 5億人以上のユーザーこのプラットフォームを悪用されると、世界中の何百万人ものユーザーを危険にさらすことになる。
  • ハッカーはGoogleフォームやGoogleドローイングのようなビルトインツールを利用するため、こうした攻撃はより危険なものとなる。 
  • わずか4週間で、300ものブランドに影響を与えたGoogleカレンダーのなりすましキャンペーンの範囲内で、4,000通以上のフィッシングメールが検出された。
  • 主なセキュリティ対策としては、「既知の送信者」を有効にすること、不審な招待を避けること、電子メールのセキュリティを強化することなどが挙げられる。

グーグルカレンダーなりすましの仕組み

以下は、Googleカレンダーのなりすましを成功させるための一般的な手順です: 

カレンダーの招待機能を利用する

グーグルカレンダーのなりすまし

攻撃者は、Googleカレンダーのユーザーフレンドリーな機能を悪用し、正規の会議招待のように見せかけたフィッシングメールを送信する。初期段階では、ハッカーはGoogleカレンダーに備わっている機能を悪用し、Googleフォームに誘導するリンクを掲載していた。しかし、セキュリティ・フィルタやゲートウェイが悪意のあるカレンダーの招待メールにフラグを立てることができることに攻撃者が気づいたため、攻撃は時間の経過とともにさらに複雑で危険なものになっていきました。 

現在、この攻撃はGoogle Drawingsの機能に合わせて進化している。多くの場合、Googleフォーム、Google Drawings、またはICSファイルの添付ファイルへのリンクには、CAPTCHAまたはサポートボタンが含まれています。

グーグルカレンダーのデフォルトの欠陥

デフォルトでは、Googleは自動的に カレンダーの招待をユーザーのカレンダーに自動的に追加します。攻撃者はこれを利用して、電子メールによるやり取りを必要とせずに、ユーザーのカレンダーに悪意のあるリンクを挿入する。

メールヘッダーの操作と送信者のなりすまし

研究者たちはサイバー犯罪者は、Googleカレンダーを通してフィッシングの招待メールを送ることで、スパムフィルターを回避することができる。攻撃者はGoogleカレンダーを使用しているため、メールのヘッダーは本物のように見え、本物のカレンダーの招待と区別することができない。研究者はこれらのヘッダーのスナップショットを共有し、フィッシングメールがDKIM、SPF、DMARCのセキュリティチェックを通過したため受信トレイに届いたことを示している。

攻撃者はカレンダーのイベントをキャンセルし、メモを追加することもでき、このメモは参加者にEメールで送信されるため、送信されるフィッシング・メールの数は実質的に2倍になる。このメッセージには、被害者を騙してフィッシング・サイトにアクセスさせるためのリンク(Google Drawingsへのリンクなど)が含まれていることがある。

Google Calendarのフィッシングメールには、カレンダーファイル(.ics)とGoogleフォームやGoogleドローイングへのリンクが含まれています。受信者が最初のリンクをクリックするとすぐに、別の悪意のあるリンクをクリックするよう促され、多くの場合、reCAPTCHAやサポートボタンの形で表示されます。

このような手口は、フィッシングメールによく見られる。 フィッシングメールフィッシングメールは、受信者を騙して機密情報を開示させたり、サイバー犯罪者に有利な行動を取らせたりするように設計されています。このようなフィッシングメールによく見られる特徴を認識することで、オンライン上で保護された状態を維持し、このような詐欺の被害に遭わないようにすることができます。

偽のサポートページと暗号通貨詐欺

悪意のあるリンクをクリックすると、被害者は個人情報や企業データを盗むことを目的とした詐欺的なウェブサイトにリダイレクトされます。これらのページは、暗号通貨マイニングのランディングページ、ビットコインサポートサイト、または機密情報や支払い情報を収集することを目的とした偽の認証プロセスを模倣していることがよくあります。

Googleカレンダーが詐欺師の標的になる理由

Googleカレンダーは、世界中で最もよく使われているプラットフォームの1つです。世界中の5億人以上のユーザーが、会議のスケジュールや時間の管理にこのプラットフォームを使っています。これは Googleワークスペースの一部であり、41の言語で利用可能です。

カレンダーへの招待は、通常のフィッシング・メールよりも信頼されることが多い。このことも、Googleカレンダーのなりすまし攻撃の成功や効果に寄与している。 

グーグルカレンダーによるフィッシング詐欺の影響

Google Calendar フィッシング詐欺は、個人にとっても組織にとっても、大きな金銭的損失やデータ漏洩につながる可能性があります。攻撃者が個人情報や財務情報を盗むと、クレジットカード詐欺や不正取引に利用されたり、他のアカウントのセキュリティ対策を回避されたりします。

今回の攻撃は、教育機関、医療サービス、建設会社、銀行など、幅広い業種の約300のブランドに影響を与えた。

このような攻撃に関連するリスクを軽減するために、組織は次のような対策を講じる必要がある。 ドメイン・スプーフィング対策対策を実施すべきである。これによって、フィッシング詐欺やその他の詐欺行為において、企業のドメイン名が不正に使用されるのを防ぐことができる。

最新の攻撃:グーグルカレンダーのなりすましで300組織が標的に

チェック・ポイントの研究者は、わずか4週間のうちに300の組織に対して4,000件以上のなりすましカレンダー招待メールを送信する複雑なフィッシング・キャンペーンを確認しました。攻撃者は、メール・ヘッダを操作して、あたかもGoogleカレンダーから送信された招待状が、既知の信頼できる正規の個人から送信されたものであるかのように装っていた。

攻撃者の主な動機は金銭的な利益で、ユーザーを騙して機密情報を提供させたり、企業データにアクセスさせたりすることを目的としていた。この情報は、サイバー犯罪者がクレジットカード詐欺や不正取引、他のアカウントのセキュリティ対策の回避を行うのに役立つ。

この攻撃は通常、フィッシング・メールに埋め込まれたカレンダー・ファイル(.ics)や偽のサポート・ページへのリンクから始まる。その後、ユーザーは認証ステップを完了し、個人情報を入力し、暗号通貨マイニングやビットコインのサポートサイトを装った詐欺的なランディングページで支払詳細を提供するよう促される。

グーグルの対応とセキュリティ対策

既知の送信者」設定を有効にする

グーグルカレンダーのなりすましを防ぐ有効な手段のひとつが、グーグルカレンダーの「既知の送信者」設定を利用することだ。実際、Googleカレンダーになりすます手口が横行しているため、Google自身もこの機能を使うことを推奨している。次のように グーグル広報担当者はGoogleの広報担当者によると、Googleカレンダーの「送信者が既知の場合のみ」設定を有効にすることで、「連絡先リストにない相手からの招待状や、過去にそのメールアドレスでやりとりしたことのない相手からの招待状を受け取った場合に警告を発することで、この種のフィッシングからユーザーを守ることができます。

Googleが推奨する一般的なセキュリティ対策

特定の「Known Senders(既知の送信者)」設定の使用に加えて、グーグルは、より良い、より効果的なオンライン・セキュリティ慣行のための一般的な提案もいくつか用意している。例えば 

  • カレンダーの設定を随時見直し、調整する。
  • 予期せぬ誘い、特に何らかの不審な行動を要求する誘いには注意すること。正当な Googleセキュリティアラートを理解することで、巧妙なフィッシング詐欺から身を守ることができます。
  • 招待を受ける前に送信者のメールアドレスを確認する。

カレンダー・フィッシングから身を守る専門家のアドバイス

イベントの招待状は慎重に

予期せぬ招待や送り主の詳細について、矛盾やエラー、不審な点がないか注意深く調べる必要がある。特に、切迫感やFOMOを煽ったり、即座の行動を求めたりするタイプの招待には注意してください。行動分析ツールを利用して、通常とは異なるアカウント活動を検出することができます。 

リンクをクリックする前に、その上にカーソルを置いてURLを確認すること。そうすることで、リンクが何についてのものなのか、少なくとも基本的な見当をつけることができる。リンクに関しては、URLレピュテーションチェックを備えた高度なメールセキュリティソリューションを使うこともできる。また、不明な送信元からの添付ファイルはダウンロードしないようにしましょう。 

アカウント・セキュリティの強化

アカウントのセキュリティを強化するには、Googleアカウントの2ファクタ認証(2FA)を有効にしてください。万が一、認証情報が漏洩した場合でも、2FAを利用することで、ハッカーによる被害者のアカウントへのアクセスを防ぐことができます。また、各オンラインアカウントには強力で固有のパスワードを使用し、ハッカーに容易に推測されるような個人情報(氏名、生年月日など)を含まないようにしましょう。Googleの全サービスのセキュリティ設定を定期的に更新するとともに、オペレーティングシステムやアプリも最新の状態に保つようにしましょう。 

規則に従う

要件は多くの場合、あなたを罰するためでも、あなたのために物事を複雑にするためでもなく、可能な限り高度な保護を提供するためのものです。グーグルとヤフーは最近 メール認証要件を導入し、1日に5,000通以上のメールを送信する送信者は、SPF、DKIM、DMARCプロトコルを実装しなければならないことを義務付けました。大量送信者は、メールを認証し、簡単な配信停止オプションを有効にし、スパム率を0.3%未満に維持する必要があります。これらの対策は、フィッシング詐欺やその他の悪質なメール行為からユーザーを守るためのものです。

進化するフィッシング・キャンペーン

セキュリティ対策は進歩しているが、攻撃者のテクニックも進歩している。例えば、Googleフォームを使った攻撃では自分たちの策略が見破られてしまうことに気づいた攻撃者は、より巧妙で予想外の攻撃を行うためにGoogleドローイングにシフトした。グーグル・ドローイングスへの侵入に成功した場合、次の攻撃を行うために、ドックスやドライブといった一般的に使用されているグーグルの他のサービスにも侵入できる可能性が高い。従って、次の攻撃には、柔軟な対応と慎重な行動を心がけることが重要である。 すべてのそのため、Googleワークスペース内だけでなく、それ以外のプラットフォームにも柔軟に対応し、注意を払うことが重要です。

巻末資料

Googleカレンダーはオンライン・コミュニケーションで一般的に使用されているため、Googleカレンダーを狙ったフィッシング詐欺には特別な注意と早急な対策が必要です。最近の攻撃は、このような攻撃がいかに迅速かつ効果的であるかを示すものであり、このトピックに関するGoogleと専門家の推奨に従って注意深く行動することが、オンライン上の安全にとって極めて重要です。 

予期せぬ招待、特にアクションを要求するものは常に確認し、カレンダーのイベントリンクをクリックする前にURLをチェックする必要があります。多要素認証(MFA)や安全なパスワードを使用することも、こうしたフィッシング攻撃に対するセキュリティ強化に役立ちます。これらの攻撃は非常に複雑で多彩に見えるかもしれないが、必要な知識とスキル、そして正しいデジタル「衛生管理」を身につければ、最も巧妙なサイバー攻撃に直面しても、保護された状態を維持することは可能である。 

よくあるご質問

カレンダー招待のスパムが届き続けるのはなぜですか?

グーグルカレンダーには、カレンダーへの招待の追加方法を制御・管理できる専用の設定があります。 

  1. 開く グーグルカレンダー.
  2. 右上の「設定」をクリックします。
  3. 左側の "General "の下にある "Event settings "をクリックし、次に "Add invitations to my calendar "をクリックする。
  4. 利用可能なオプションのいずれかを選択します: 
    1. "全員から"(このオプションは、カレンダー招待のスパムを受け取る可能性を高める可能性があることに注意してください)
    2. "送信者がわかっている場合のみ" 
    3. "招待メールに返信するとき" 

Googleカレンダーの安全性は?

Googleカレンダーには数多くのセキュリティ機能が搭載されていますが、全体的なセキュリティの程度は、ユーザー自身の設定や習慣に依存します。二要素認証を有効にし、強力なパスワードを使用し、「送信者が既知の場合のみ」設定を選択し、未知の送信元からの招待に一般的に慎重であれば、あなたとあなたの連絡先の両方にとって、より安全でセキュアなGoogleカレンダー環境に貢献することができます。

Gmailにはなりすまし防止機能がありますか?

はい、GmailはSPF、DKIM、DMARCチェックなど、いくつかのなりすまし対策を採用しています。しかし、攻撃者はこれらの保護をバイパスすることができるため、追加のセキュリティ対策を使用する必要があります。Gmailに内蔵されている保護機能を超えてメールのセキュリティを強化するには、PowerDMARCのような高度なDMARCソリューションの利用を検討する必要があります。このプラットフォームは、包括的な電子メール認証とレポートツールを提供し、なりすまし、フィッシング、その他の電子メールベースの脅威から企業を保護するのに役立ちます。

CTA

最新記事 by Milena Baghdasaryan(全て見る)
ゼロ・トラスト・ネットワーク・アクセス:サイバーセキュリティにおける暗黙の信頼に終止符を打つdmarc record blogを公開するDMARCレコードの作成と公開方法