Googleカレンダー招待を装ったフィッシング攻撃の実態と対策
フィッシング攻撃が激増する背景
フィッシング攻撃とは、特定の人やサービスになりすまして人をだます手法です。 例えば、ショッピングサイトから「アカウントがセキュリティ上の侵害を受けた可能性がある」 といった内容のメールが届き、問題解決のためにリンクをクリックしてログインするよう促されます。
こうした攻撃は世界的に増加しており、特に日本を狙うフィッシングメールが急増しています。その理由として、生成AIの普及により誰でも正確な日本語の文章を作れるようになったことが挙げられます。
Googleカレンダーを悪用したフィッシング手口
メール業界がフィッシング対策を強化したことで、攻撃者は新たな方法を模索しています。 その一つがGoogleカレンダーを利用した攻撃です。攻撃者はGoogleカレンダー上で会議などの名目で 招待メールを送ります。リモート会議が一般的になった現在、メールで会議への招待が届くのは不自然ではありません。
攻撃者は企業の公開情報や別の手段で入手したメールアドレスを使用し、実在の企業の役員などになりすまして招待を送信します。招待を受け取った人が「参加」をクリックすると、Googleに似せたログイン画面が表示され、入力したログイン情報が盗み出されます。
被害状況
セキュリティ企業のチェック・ポイント社の2024年12月の発表によると、Googleカレンダーを悪用した被害に遭った企業・団体は約300で、2週間で2300通のフィッシングメールが確認されています。
また、Google図形描画(ホワイトボードのようなツール)を悪用したフィッシング攻撃も確認されています。攻撃者はGoogleフォームやGoogle図形描画へのリンクを含むメールを送り、偽装されたreCAPTCHAやサポートボタンをクリックするよう誘導し、ログイン情報を盗み取ります。
Googleサービスが狙われる理由
GoogleカレンダーやGoogle図形描画を悪用するフィッシングは、最終的には決済情報(クレジットカード情報など)を盗もうとします。Googleの多くのサービスはGmailアカウントで利用できるため、アカウントとパスワードを入手できれば、メールの内容、カレンダー、連絡先、写真、ドキュメントなどすべての情報にアクセスできてしまいます。
特に企業アカウントとしてGmailを使用している場合、業務に関わる様々な情報が漏洩する危険性があります。Gmailの世界のユーザー数は約4億人とされており、攻撃者にとって魅力的なターゲットとなっています。
対策方法
Googleカレンダーについて、Googleは設定メニューから「知っているユーザーから届いた場合のみ」を有効にすることを推奨しています。これにより、連絡先リストに登録されていない人や過去にメールのやり取りをしたことがない相手からの招待に対して警告が表示されるようになります。
具体的な設定方法
- パソコンでGoogleカレンダーを開く
- 右上の設定アイコン、次に「設定」をクリック
- 左側の「全般」セクションで、「予定の設定」次に「カレンダーに招待状を追加」をクリック
- 「知っているユーザーから届いた場合のみ追加」を選択
その他の対策
- 高度なメールセキュリティの導入
- Googleサービスと連携しているアプリの不審な動きを検知できるセキュリティツールの活用
- 多要素認証(生体認証など)の導入
- 不審なイベント招待を受け取った際は、メール以外の方法で相手に確認する
フィッシング対策のまとめ表
| 対策 | 詳細 | 効果 |
|---|---|---|
| Googleカレンダー設定変更 | 「知っているユーザーから 届いた場合のみ」を有効化 | 不審な招待に警告表示 |
| 多要素認証 | IDとパスワード以外にスマートフォンの生体認証などを追加 | IDとパスワードが流出しても 不正ログインを防止 |
| メールセキュリティ | 高度なメールセキュリティ ツールの導入 | フィッシングメールの 検知率向上 |
| 不審な招待の確認 | メール以外の方法で送信者に 確認 | なりすましの見極め |
| セキュリティツール | Googleサービスと連携アプリの不審な動きを検知 | 攻撃の早期発見 |
フィッシング攻撃は年々巧妙化しており、特にGoogleカレンダーやGoogle図形描画のような日常的に使用するサービスを悪用した手法が増えています。上記の対策を実施し、不審なログイン要求には反射的に応じないよう注意することが重要です。
Follow me!
コメント