カレンダー機能を悪用したデータ盗難に注意--「Googleカレンダー」も標的に

Charlie Osborne (Special to ZDNet.com) 翻訳校正: 編集部 2019年06月17日 07時30分

  • このエントリーをはてなブックマークに追加
  • 印刷

 サイバー攻撃者や犯罪者はあらゆる手段を使ってユーザーが情報を提供するよう仕向ける。

 データはそれ自身が通貨と同等にみられ、アンダーグラウンドの市場で金銭目的で売られたり、オンラインアカウントの不正アクセスに悪用されたり、最悪の場合には身元詐称や不正購入に用いられたりする可能性がある。

 ソフトウェアやウェブ上の脆弱性は、データを大量に収集するための攻撃に悪用される場合がある。膨大な数の記録が晒されてしまうようなデータ流出のニュースを聞かない日がまれなほどだ。

 個人レベルでは、われわれが日々使用するサービスも、ユーザーの情報の入手に精を出す攻撃者の興味を引いている。カレンダーサービスも例外ではない。

 カレンダーを対象にした攻撃や詐欺が何年間もインターネット上で横行しているが、そういった悪巧みが膨大な数のユーザーに影響を及ぼし始めたのはほんの数年前の2016年のことだった。Appleデバイスのユーザーがカレンダーのアプリで通知を受信するようになっている。これは保護されていない共有メカニズムを通じてそれが可能になっていた。

 米ZDNetが把握する限りでも2016年には、「Ray-Ban」の広告がポップアップ表示され、その招待に引っかかったユーザーが最終的にクレジットカード情報を盗まれるという事件があった。

 当時、Appleは「iCloud」のカレンダーや「写真」アプリ、「iMessage」に表示されるスパム通知を報告する機能「Report Junk」(迷惑イベントを報告)を追加し、その後イベントの自動追加を完全に停止する機能も加えた。だがこれらの応急対策は、これが「iPhone」や「iPad」を製造するAppleだけでなくGoogleやMicrosoftにも影響する、現在進行形の問題であることを浮き彫りにしただけだった。

 コラボレーションという名目でユーザーのカレンダーに表示される参加依頼は、特にビジネスや経営に携わる人に役立つ機能だ。だが犯罪者らは、ユーザーに通常有益な機能を悪用する。

 セキュリティー企業GreatHornの研究者らは2019年1月、標的とする企業の最高経営責任者(CEO)の名前とメールアドレスを偽って悪用し、その企業の幹部らをMicrosoftのなりすましサイトに誘導する詐欺を発見した。

 その詐欺ではCEOになりすました人物が計画した偽の会議への招待がカレンダー上で被害者らに送られ、招待にあるリンクをクリックするとMicrosoft Office 365のサイトに似せて作られたアカウント認証情報を盗むためのフィッシングサイトに飛ばされるようになっていた。

 そして近頃、攻撃者らは「Googleカレンダー」を標的にしているようだ。サイバーセキュリティー企業Kasperskyの専門家らは米国時間6月10日、招待機能を悪用した複数の新たな事件を5月に発見したことを明らかにした。それらの事件では、攻撃者らが一方的にイベントへの招待を送り、「ユーザーのカレンダーに自動的に招待やイベントを追加する無料のオンラインカレンダー」の機能を悪用していた。

 このスパムメッセージ攻撃で悪用されたのは、スマートフォンでGmailを使用するユーザーのカレンダーに自動で招待の追加や通知を行う一般的なデフォルト機能だった。

 この事件で使用されたポップアップ通知は、CEOになりすまして合理的なコミュニケーションを偽った前述の詐欺ほど巧妙なものではなく、招待に添えられたフィッシングリンクをクリックすると、質問事項にすべて回答した人に賞金を提供するという、アンケート調査をかたるサイトに飛ばされた。

 賞金を得るためとして、被害者らは自身のクレジットカード情報や名前、電話番号、住所を入力する必要があった。

 「多くの人は電子メールやメッセンジャーアプリからスパムメッセージを送られることに慣れてしまっている中、この『カレンダー詐欺』は非常に効果的な企みだ」とKasperskyのセキュリティーリサーチャーのMaria Vergelis氏は述べ、「当社がこれまでに見てきたサンプルには明らかに奇妙な申し出を表示しているテキストが含まれているが、こういったことが起きるにつれ、あらゆる単純な企みが時間をかけてより綿密で巧妙になっていく」とした。

 カレンダーの悪用はしばらく続きそうだが、幸いGoogleカレンダーのユーザーにはこういったうっとうしい(時として悪意のある)不正行為を回避する簡単な方法がある。Googleカレンダーを開き、「Settings」(設定)をクリックし、「Events from Gmail」(Gmail からの予定)で「Add automatically」(Gmailからの予定を自動的にカレンダーに追加する)の隣にあるボックスのチェックを外せばいい。

 Googleの広報担当者は米ZDNetに対して以下のように述べた。

 Googleの利用規約と製品ポリシーは、当社のサービス内での悪意のあるコンテンツの拡散を禁じており、当社は不正使用の防止とプロアクティブな対策に精力的に取り組んでいる。スパムの撲滅は果てしない戦いだが、当社が素晴らしい進歩を遂げてもスパムが対策の目をかいくぐる場合がある。

 当社は引き続きすべてのユーザーをスパムから守ることに全力を注ぐ。「Googleフォト」のコンテンツをスキャンしてスパムを探し、Googleカレンダーや「Googleフォーム」「Googleドライブ」、Googleフォトでスパムについて報告する機能をユーザーに提供すると共に、スパム送信者による「Googleハングアウト」からの接触をブロックする。また、「Google Chrome」の「Safe Browsing」フィルターを通じて既知の悪質なURLを警告することによってユーザーのセキュリティーを保護する。

この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

  • このエントリーをはてなブックマークに追加

SpecialPR

連載

CIO
月刊 Windows 10移行の心・技・体
ITアナリストが知る日本企業の「ITの盲点」
シェアリングエコノミーの衝撃
デジタル“失敗学”
コンサルティング現場のカラクリ
Rethink Internet:インターネット再考
インシデントをもたらすヒューマンエラー
トランザクションの今昔物語
エリック松永のデジタルIQ道場
研究現場から見たAI
Fintechの正体
米ZDNet編集長Larryの独り言
大木豊成「仕事で使うアップルのトリセツ」
山本雅史「ハードから読み解くITトレンド放談」
田中克己「展望2020年のIT企業」
松岡功「一言もの申す」
松岡功「今週の明言」
内山悟志「IT部門はどこに向かうのか」
林 雅之「デジタル未来からの手紙」
谷川耕一「エンプラITならこれは知っとけ」
大河原克行「エンプラ徒然」
内製化とユーザー体験の関係
「プロジェクトマネジメント」の解き方
ITは「ひみつ道具」の夢を見る
セキュリティ
セキュリティインシデント対応の現場
エンドポイントセキュリティの4つの「基礎」
企業セキュリティの歩き方
サイバーセキュリティ未来考
ネットワークセキュリティの要諦
セキュリティの論点
スペシャル
エンタープライズAIの隆盛
インシュアテックで変わる保険業界
顧客は勝手に育たない--MAツール導入の心得
「ひとり情シス」の本当のところ
ざっくり解決!SNS担当者お悩み相談室
生産性向上に効くビジネスITツール最前線
ざっくりわかるSNSマーケティング入門
課題解決のためのUI/UX
誰もが開発者になる時代 ~業務システム開発の現場を行く~
「Windows 10」法人導入の手引き
ソフトウェア開発パラダイムの進化
エンタープライズトレンド
10の事情
座談会@ZDNet
Dr.津田のクラウドトップガン対談
Gartner Symposium
IBM World of Watson
de:code
Sapphire Now
VMworld
Microsoft Inspire
Microsoft Connect()
HPE Discover
Oracle OpenWorld
Dell Technologies World
AWS re:Invent
AWS Summit
PTC LiveWorx
吉田行男「より賢く活用するためのOSS最新動向」
古賀政純「Dockerがもたらすビジネス変革」
中国ビジネス四方山話
ベトナムでビジネス
日本株展望
企業決算
このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]