近年、Googleカレンダーの招待機能を悪用したフィッシング攻撃が報告されており、注意が必要です。この記事では、その巧妙な手口と、被害に遭わないための具体的な対策について、専門家の情報を元に分かりやすく解説します。
巧妙化するフィッシングの手口
従来のフィッシングメールは、不審な日本語や、明らかに偽サイトと分かる作りのものが多くありました。しかし、最近では生成AIの普及などにより、非常に自然な日本語のメールが作成されるようになっています。
Googleカレンダーを悪用したフィッシングでは、攻撃者は会議などの名目で招待メールを送ります。リモート会議が一般化した現代において、このような招待メールは日常的に受け取る可能性があるため、疑いを持つことが難しくなっています。
手口の流れ
- 攻撃者は、企業の公開情報や別の手段で入手したメールアドレス宛に、実在の企業や役員になりすましてGoogleカレンダーの招待を送ります。
- 受信者が招待メール内の「参加」ボタンなどをクリックすると、本物そっくりの偽のログイン画面が表示されます。
- そこでIDとパスワードを入力してしまうと、認証情報が盗まれてしまいます。
同様の手口は、Google図形描画といった他のGoogleサービスでも確認されています。これらのサービスへの共有通知を装ったメールから偽のログインページへ誘導し、情報を窃取しようとします。
なぜGoogleサービスが狙われるのか?
Googleアカウントの認証情報を入手できれば、Gmailの送受信メールの内容はもちろん、カレンダーの予定、連絡先、Googleフォトの写真、Googleドキュメントのファイルなど、多岐にわたる個人情報や企業情報にアクセスできてしまいます。 Gmailのユーザー数は世界で4億人とも言われており、攻撃者にとって非常に魅力的なターゲットとなっています。
被害状況
セキュリティ企業のチェック・ポイント・ソフトウェア・テクノロジーズ社によると、2024年12月の発表で、Googleカレンダーを悪用したフィッシング攻撃の被害に遭った企業・団体は約300にのぼり、2週間で2300通のフィッシングメールが確認されたとのことです。
| 項目 | 数値・内容 |
| 被害に遭った企業・団体数 (2024年12月時点) | 約300社 |
| 確認されたフィッシングメール数 (2週間) | 2300通 |
| 攻撃対象となるGoogleサービス例 | Googleカレンダー、Google図形描画 |
| Gmailユーザー数 | 世界で4億人 |
今すぐできる対策
1. Googleカレンダーの設定変更
Googleは、カレンダーの設定で「知っている送信者からの招待のみ表示」を有効にすることを推奨しています。 これにより、連絡先リストに登録されていない人や、過去にやり取りのない相手からの招待には警告が表示されるようになります。
設定方法:
- パソコンでGoogleカレンダーを開きます。
- 右上の設定アイコン(歯車マーク)をクリックし、「設定」を選択します。
- 左側の「全般」セクションにある「予定の設定」をクリックし、「カレンダーに招待状を追加」を選択します。
- 「はい。ただし、差出人が不明な場合、または全員が招待に応じるまで承諾しない場合」または「いいえ。承諾した招待のみ表示します」を選択します。(注:記事内の「知っているユーザーから届いた場合のみ追加」という選択肢名はGoogleのヘルプを参考に調整しました。)
2. ログイン情報の取り扱いに注意
- メールやメッセージ内のリンクからログイン画面が表示された場合、安易にIDやパスワードを入力しない。
- 本当に信頼できるサイトか、URLなどをよく確認する。
- 不審な場合は、画面を閉じる。メールを開いただけ、リンクをクリックしただけであれば、情報を入力しない限り被害は発生しません。
3. 多要素認証の導入
IDとパスワードだけでなく、スマートフォンアプリや生体認証などを組み合わせた多要素認証を導入することで、万が一IDとパスワードが漏洩しても、不正ログインを防ぐ効果が高まります。
4. 高度なメールセキュリティの導入
フィッシングメール対策が施された、高度なメールセキュリティ製品の導入も有効です。
5. 不審な招待は送信元に確認
不審なイベント招待などを受け取った場合は、メール以外の方法(電話など)で相手に直接確認することも有効な手段です。
Follow me!
コメント