Check Point Software Technologiesは12月17日(米国時間)、「Google Calendar Notifications Bypassing Email Security Policies - Check Point Blog」において、Googleカレンダーから送信されたフィッシングメールを確認したと報じた。

攻撃者は、約4週間で4,000件を超えるフィッシングメールを送信したとみられる。

  • Google Calendar Notifications Bypassing Email Security Policies - Check Point Blog

    Google Calendar Notifications Bypassing Email Security Policies - Check Point Blog

侵害経路

攻撃者はセキュリティソリューションの検出を回避するため、Googleカレンダーの招待機能を悪用した。招待の本文にGoogleフォームへのリンク、Google図形描画(drawings)へのリンク、またはカレンダーファイル(.ics)を添付することで、検出を回避したとされる。

被害者がこれらのリンクにアクセスすると、偽のreCAPTCHAまたはサポートボタンのクリックを求められる。ボタンをクリックすると暗号資産マイニングのWebページや、ビットコインのサポートページに偽装したフィッシングサイトにリダイレクトされる。

被害者が求めに応じてログインを試みると、認証情報や個人情報などが窃取され、最終的に金融詐欺に遭う可能性がある。

  • フィッシングメールの例 - 引用:Check Point

    フィッシングメールの例 引用:Check Point

対策

Check Pointは同様の攻撃を回避するため、企業や組織の管理者に次の対策を推奨している。

  • Googleアプリの使用状況を監視する。信頼できるサードパーティーアプリなども活用し、不審な活動を検出できるようにする
  • 従業員がフィッシング攻撃にだまされて認証情報を窃取された場合に備え、すべての業務アカウントに多要素認証(MFA: Multi-Factor Authentication)を導入する

従業員に推奨される対策は次のとおり。

  • 事前連絡のない予期しない招待状や、通常とは異なる操作(reCAPTCHAなど)を要求する招待状に注意し、不審な場合は無視する
  • リンクにアクセスする前に、リンク先URLを検証する
  • 保有するすべてのアカウントに多要素認証を設定する

フィッシング詐欺にサービスを悪用されたGoogleは、Check Pointからの問い合わせに次のとおり回答している。

Googleカレンダーの「既知の送信者」設定を有効にすることを推奨します。この設定により、連絡先リストにない人や、過去に自分のメールアドレスとやり取りしたことのない人からの招待状に警告が表示され、このタイプのフィッシングからユーザーを守ることができます。

具体的な設定手順は「カレンダーで招待状を管理する - パソコン - Google カレンダー ヘルプ」から確認することができる。