カレンダー機能を悪用したデータ盗難に注意--「Googleカレンダー」も標的に

　サイバー攻撃者や犯罪者はあらゆる手段を使ってユーザーが情報を提供するよう仕向ける。

　データはそれ自身が通貨と同等にみられ、アンダーグラウンドの市場で金銭目的で売られたり、オンラインアカウントの不正アクセスに悪用されたり、最悪の場合には身元詐称や不正購入に用いられたりする可能性がある。

　ソフトウェアやウェブ上の脆弱性は、データを大量に収集するための攻撃に悪用される場合がある。膨大な数の記録が晒されてしまうようなデータ流出のニュースを聞かない日がまれなほどだ。

　個人レベルでは、われわれが日々使用するサービスも、ユーザーの情報の入手に精を出す攻撃者の興味を引いている。カレンダーサービスも例外ではない。

　カレンダーを対象にした攻撃や詐欺が何年間もインターネット上で横行しているが、そういった悪巧みが膨大な数のユーザーに影響を及ぼし始めたのはほんの数年前の2016年のことだった。Appleデバイスのユーザーがカレンダーのアプリで通知を受信するようになっている。これは保護されていない共有メカニズムを通じてそれが可能になっていた。

　米ZDNetが把握する限りでも2016年には、「Ray-Ban」の広告がポップアップ表示され、その招待に引っかかったユーザーが最終的にクレジットカード情報を盗まれるという事件があった。

　当時、Appleは「iCloud」のカレンダーや「写真」アプリ、「iMessage」に表示されるスパム通知を報告する機能「Report Junk」（迷惑イベントを報告）を追加し、その後イベントの自動追加を完全に停止する機能も加えた。だがこれらの応急対策は、これが「iPhone」や「iPad」を製造するAppleだけでなくGoogleやMicrosoftにも影響する、現在進行形の問題であることを浮き彫りにしただけだった。

　コラボレーションという名目でユーザーのカレンダーに表示される参加依頼は、特にビジネスや経営に携わる人に役立つ機能だ。だが犯罪者らは、ユーザーに通常有益な機能を悪用する。

　セキュリティー企業GreatHornの研究者らは2019年1月、標的とする企業の最高経営責任者（CEO）の名前とメールアドレスを偽って悪用し、その企業の幹部らをMicrosoftのなりすましサイトに誘導する詐欺を発見した。

　その詐欺ではCEOになりすました人物が計画した偽の会議への招待がカレンダー上で被害者らに送られ、招待にあるリンクをクリックするとMicrosoft Office 365のサイトに似せて作られたアカウント認証情報を盗むためのフィッシングサイトに飛ばされるようになっていた。

　そして近頃、攻撃者らは「Googleカレンダー」を標的にしているようだ。サイバーセキュリティー企業Kasperskyの専門家らは米国時間6月10日、招待機能を悪用した複数の新たな事件を5月に発見したことを明らかにした。それらの事件では、攻撃者らが一方的にイベントへの招待を送り、「ユーザーのカレンダーに自動的に招待やイベントを追加する無料のオンラインカレンダー」の機能を悪用していた。

　このスパムメッセージ攻撃で悪用されたのは、スマートフォンでGmailを使用するユーザーのカレンダーに自動で招待の追加や通知を行う一般的なデフォルト機能だった。

　この事件で使用されたポップアップ通知は、CEOになりすまして合理的なコミュニケーションを偽った前述の詐欺ほど巧妙なものではなく、招待に添えられたフィッシングリンクをクリックすると、質問事項にすべて回答した人に賞金を提供するという、アンケート調査をかたるサイトに飛ばされた。

　賞金を得るためとして、被害者らは自身のクレジットカード情報や名前、電話番号、住所を入力する必要があった。

　「多くの人は電子メールやメッセンジャーアプリからスパムメッセージを送られることに慣れてしまっている中、この『カレンダー詐欺』は非常に効果的な企みだ」とKasperskyのセキュリティーリサーチャーのMaria Vergelis氏は述べ、「当社がこれまでに見てきたサンプルには明らかに奇妙な申し出を表示しているテキストが含まれているが、こういったことが起きるにつれ、あらゆる単純な企みが時間をかけてより綿密で巧妙になっていく」とした。

　カレンダーの悪用はしばらく続きそうだが、幸いGoogleカレンダーのユーザーにはこういったうっとうしい（時として悪意のある）不正行為を回避する簡単な方法がある。Googleカレンダーを開き、「Settings」（設定）をクリックし、「Events from Gmail」（Gmail からの予定）で「Add automatically」（Gmailからの予定を自動的にカレンダーに追加する）の隣にあるボックスのチェックを外せばいい。

　Googleの広報担当者は米ZDNetに対して以下のように述べた。

　Googleの利用規約と製品ポリシーは、当社のサービス内での悪意のあるコンテンツの拡散を禁じており、当社は不正使用の防止とプロアクティブな対策に精力的に取り組んでいる。スパムの撲滅は果てしない戦いだが、当社が素晴らしい進歩を遂げてもスパムが対策の目をかいくぐる場合がある。

　当社は引き続きすべてのユーザーをスパムから守ることに全力を注ぐ。「Googleフォト」のコンテンツをスキャンしてスパムを探し、Googleカレンダーや「Googleフォーム」「Googleドライブ」、Googleフォトでスパムについて報告する機能をユーザーに提供すると共に、スパム送信者による「Googleハングアウト」からの接触をブロックする。また、「Google Chrome」の「Safe Browsing」フィルターを通じて既知の悪質なURLを警告することによってユーザーのセキュリティーを保護する。