WIREDに掲載されているすべての製品は、編集者が独自に選定したものです。ただし、小売店やリンクを経由した製品購入から報酬を受け取る場合があります。詳細はこちらをご覧ください。
ソフトウェアメーカーやアプリ開発者は、製品の安全性を高め、攻撃を受けにくくする努力を続けていますが、デジタルセキュリティに油断はできません。悪意のある人物がアカウントにアクセスするために使用するさまざまな攻撃方法すべてに注意する必要があります。
これらの方法には、Googleカレンダーを標的にすることが含まれます。Googleカレンダーはあまりにもシンプルで日常的に使われるアプリなので、マルウェアの侵入に利用されるとは思わないかもしれません。しかし、世界中に何百万人ものユーザーを抱え、信頼できるテクノロジーブランドを擁するGoogleカレンダーは、ハッカーや詐欺師が常に狙うプラットフォームなのです。
Google カレンダーを狙う方法はさまざまですが、こうした種類の攻撃には共通のテーマがいくつかあり、攻撃を受ける可能性を最小限に抑えるために遵守すべき一般的なルールがいくつかあります。
Googleカレンダーマルウェアの仕組み
Googleカレンダー詐欺の大半は、個人情報を詐取するために作られた詐欺ウェブサイトへのリンクを利用しています。これは典型的なデジタル詐欺です。これらのリンクは、Googleカレンダーのイベントの説明に埋め込まれているか、Googleカレンダーの招待状を装ったメールに埋め込まれています。どちらの場合も、リンクが本物らしく見えるよう細心の注意が払われています。
標準的なGoogleカレンダーの招待状には、イベント自体とゲストリストへのリンクが付属しています。また、イベントはカレンダーアプリで開くための.icsファイルとして添付されています。一方、イベント自体の説明にはリンクが埋め込まれていたり、Googleドライブのファイルが添付されていたりする場合もあります。これらの要素はすべて、悪意のある人物によって何らかの形で悪用される可能性があります。
Check Pointが最近報告したセキュリティ脆弱性を例に挙げてみましょう。この攻撃は、正規のGoogleカレンダーの招待メールを偽装することで実行されます。招待に応答すると、reCAPTCHAフォームまたはサポートボタンが表示され、その後、標的のユーザーは公式に見えるサイトで個人情報を入力するよう求められます。この情報は、他のアカウントへのアクセスや不正な購入に利用される可能性があります。
Googleカレンダーの招待状は、ユーザーを騙すために常に利用されてきました。多くの会議や予定を管理しなければならない組織に所属している場合、危険な招待状が本物の招待状に紛れ込む可能性は十分にあります。さらに、ハッカーは、役員の名前からオフィスの住所に至るまで、企業や連絡先に関する情報を悪用して、招待状をより本物らしく見せかける可能性があります。
すべての攻撃がフィッシングリンクを利用するわけではありません。実際に悪用された事例は確認されていませんが、リモートアクセス型トロイの木馬攻撃は、Googleカレンダーのイベント記述に埋め込まれたコードを用いてWeb経由でコンピュータを乗っ取るという概念実証として構築されました。Googleはこの脆弱性を修正しましたが、この攻撃は多様な攻撃方法が存在することを示しています。
Googleカレンダーマルウェアから身を守る方法
電子メールに添付されたメタデータは、電子メールの信頼性を証明するのに役立ちます。
デビッド・ニールド幸いなことに、Googleはカレンダーアプリ内のセキュリティ上の脆弱性を黙って受け入れているわけではありません。Googleは、常に進化し続ける新たな脅威に先手を打つため、「スパム、フィッシング、マルウェア」に対する新たな保護機能を定期的にアップデートしています。常に最新の攻撃手法から身を守る最善の方法の一つは、Googleカレンダーアプリとウェブブラウザを常に最新の状態に保つことです。
フィッシング詐欺やソーシャルエンジニアリング詐欺を避けるための一般的なアドバイスは、ここでも当てはまります。受信トレイにリンクが埋め込まれたメールが届いた場合は、たとえGoogleカレンダーや連絡先リストに登録されている相手から送られてきたように見えても、警戒しましょう。特に、前年に退職した元同僚から突然ランチデートの誘いを受けるなど、通常とは異なる内容のメールには警戒しましょう。
招待リンクは、自分が期待しているものだけをクリックするのが良いルールです。確信が持てない場合は、招待の送信者に直接確認しましょう。リンクがGoogleカレンダー以外の場所に誘導する場合は、それ以上先に進まないでください。Googleカレンダーにアクセスしていると思っても、ブラウザのアドレスバーをもう一度確認して、GoogleカレンダーがGoogleカレンダーではないことを確認してください。
ほとんどのメールクライアントでは、メールの送信元をより詳しく確認できます。例えば、ウェブ版Gmailでは、メールの右上にある3つの点をクリックし、「元のメールを表示」をクリックすると、ヘッダー情報全体が表示されます。このヘッダー情報には、招待状の送信元のメールアドレス全体が含まれており、Googleカレンダーからの招待状であれば、送信者欄に「[email protected]」と表示されているはずです。
より一般的には、Googleアカウントを2段階認証で保護することは必須です。また、Googleアカウントに接続されているアプリやサービスを定期的に確認することも重要です。確認するには、ウェブ上のGoogleアカウントページにアクセスし、「セキュリティ」と「すべての接続を表示」を選択してください。サードパーティ製のカレンダークライアントなど、不要になったアプリやサービスがあれば、接続を解除してください。
