カレンダー招待フィッシング:詐欺師があなたのスケジュールを悪用する方法
カレンダー招待フィッシングは、Google Calendar、Outlook、Apple Calendarなどの一般的なカレンダーアプリケーションの自動受け入れ機能を悪用した高度なソーシャルエンジニアリング攻撃です。詐欺師は、悪意のあるリンク、偽のログインポータル、または機密情報の要求を含む一見正規の会議招待を送信します。FBIのインターネット犯罪苦情センターによると、カレンダーベースのフィッシング攻撃は2021年から2023年の間に347%増加し、被害者は認証情報盗難とそれに続くアカウント侵害により、1件あたり平均1,000ドルの損失を被っています。 この攻撃ベクトルが特に効果的な理由は、カレンダー招待状が従来のメールセキュリティフィルターをバイパスし、明示的な受け入れなしにユーザーのスケジュールに直接表示されることが多いためです。招待状は通常、信頼できるブランド、IT部門、人事担当者、または業務上の連絡先になりすまし、パスワードリセット、アカウント検証、または必須会議に関する緊急性を演出します。被害者が埋め込まれたリンクをクリックするか認証情報で応答すると、攻撃者はメールアカウント、金融システム、または企業ネットワークへのアクセスを獲得します。 この詐欺はシンプルなフィッシングを超えて進化し、暗号資産投資スキーム、偽の賞金通知、カレンダースパムを通じた偽のテックサポート詐欺を含むようになっています。Kasperskyのセキュリティ研究者によると、2023年に組織の23%は少なくとも1件のカレンダーフィッシング攻撃を経験し、メールセキュリティインフラが低度な小規模企業が不釣り合いに影響を受けました。典型的な攻撃サイクルは初期招待から認証情報侵害まで1~3日間続くため、迅速な検出と対応が重要です。
主な手口
- • 詐欺師は招待状を自動追加する機能を悪用し、ユーザーが明示的な受け入れなしにスケジュールに自動的に入力される招待状を送信することで、ユーザーがメール受信箱を無視してもコンテンツが表示されるようにします。
- • 攻撃者はIT部門またはシステム管理者になりすまし、必須パスワードリセット、セキュリティアップデート、アカウント検証に関する緊急の会議招待状を埋め込まれたフィッシングリンク付きで送信します。
- • 詐欺師がMicrosoft、Google、金融機関などの認識可能なブランドから見かけ上のウェビナーまたはトレーニングセッション招待を作成し、登録リンクは認証情報を収集するページに誘導します。
- • 詐欺師は暗号資産投資機会または賞金請求を含む繰り返しカレンダーイベントをスケジュール設定し、数週間または数か月にわたって悪意のあるコンテンツへの繰り返しの露出を確保します。
- • 攻撃者は会議アジェンダに見せかけたドキュメント添付を含むカレンダー招待を送信しますが、実際にはマルウェアまたは認証情報を盗む偽のログインポータルへのリンクが含まれています。
- • 詐欺師は侵害されたアカウントから招待状を送信するために正規のカレンダープラットフォームを使用し、招待状が信頼できる同僚またはビジネス上の連絡先から来ているように見せかけ、メールセキュリティフィルターをバイパスします。
見分け方
- 予期しないカレンダー招待がスケジュールに表示され、未知の送信者またはアドレスから送られてきており、正規な企業ドメインの微妙な綴り間違い(「microsoft.com」ではなく「microsof1.com」など)が含まれています。
- 招待にはアカウントセキュリティ、パスワード有効期限、またはシステムアクセスに関する直ちのアクション要求を含む緊急の文言が記載されており、検証なしでリンクをクリックするよう圧力をかけます。
- 会議の詳細に「ユーザーの皆様へ」のような一般的な挨拶が含まれており、あなたの実名が記載されていないか、専門的なコミュニケーションと矛盾した文法的エラーと不自然な言い回しが含まれています。
- カレンダーイベントには短縮URL、疑わしいリンク、または公式ウェブサイトに独立して移動する代わりにリンクを通じてログインするよう要求するリンクが含まれています。
- 招待が奇妙な時間(午前3時など)にスケジュール設定されているか、重要であると想定される会議のZoomリンク、電話番号、物理的な場所などの実際の会議接続情報が含まれていません。
- 複数の異なる送信者から同じサービス、投資機会、または賞金請求を推進する複数のカレンダー招待状を短期間に受け取ります。これは調整されたスパムキャンペーンを示唆しています。
身を守る方法
- Google Calendarでカレンダーイベントの自動受け入れを無効にします(設定>イベント設定>「招待状を自動的に追加」)、Outlookで(カレンダーオプション>自動受け入れ/辞退)、その他のプラットフォームで設定します。
- リンクをクリックしたり情報を提供したりする前に、別の信頼できる通信チャネル(電話またはダイレクトメッセージ)を通じて想定される送信者に連絡して、疑わしい会議招待を検証します。
- すべてのメールおよびカレンダーアカウントで二要素認証を有効化し、攻撃者がフィッシングを通じてパスワードを取得した場合でもアカウントアクセスを防止します。
- 外部ユーザーがカレンダーにイベントを追加するのを防ぐようにカレンダープライバシー設定を構成し、不明または疑わしいドメインからの招待状をメールフィルターで隔離するように設定します。
- 特にパスワードリセットやアカウント検証の場合、カレンダー招待状のリンクをクリックするのではなく、ブラウザーに直接URLを入力して公式ウェブサイトに手動でアクセスします。
- 疑わしいカレンダー招待をリンクをクリックすることなく直ちに報告して削除し、カレンダーアプリケーションでスパムまたはフィッシングとしてマークして、フィルタリングアルゴリズムを改善します。
実例
マーケティングマネージャーが、Microsoft ITサポートからであると見かけ上の「Office 365セキュリティアップデート会議」を翌日にスケジュール設定するカレンダー招待を受け取りました。招待には「会議前にアカウントを検証する」リンクが含まれていました。リンクをクリックして認証情報を入力した後、被害者のメールアカウントが侵害され、攻撃者はすべての連絡先にフィッシングメールを送信し、メールに保存されていた盗まれた支払い情報から1,200ドルの不正請求が発生しました。
起業家が、Google Calendarが「Blockchain Experts Institute」によってホストされた暗号資産投資ウェビナーを宣伝する繰り返しの週次イベントで満杯になっていることに気付きました。各イベントには保証された利益を約束する登録リンクが含まれていました。被害者が登録して「初期投資」のために提供されたウォレットアドレスに800ドルを送金すると、詐欺師は消え、ウォレットは数時間以内に空になり、資金を回復する方法がありませんでした。
人事専門家が、会社のCEOから見かけ上のカレンダー招待を受け取り、機密事項について話し合うための緊急の1対1の会議をリクエストしていました。招待には会議前に「機密文書」を確認するためのリンクが含まれていました。リンクは従業員の認証情報を収集する偽のMicrosoftログインページに誘導し、攻撃者はそれを使用して給与システムにアクセスし、検出前の3日間、従業員の直接入金を不正アカウントにリダイレクトしました。
よくある質問
カレンダー招待がメールスパムフィルターをバイパスするのはなぜですか?
カレンダーフィッシング招待がデバイスにマルウェアをインストールできますか?
通報窓口 — 日本
お住まいの地域でこの詐欺を通報できる公式窓口。
この詐欺に遭った可能性はありますか?
How to cite this guide
Use this when referencing ScamLens content in articles, research, AI responses, or social media.
According to ScamLens (scamlens.org), カレンダー招待フィッシング:詐欺師があなたのスケジュールを悪用する方法 is described at https://scamlens.org/ja/encyclopedia/calendar-invite-phishing.