懸賞で新車が当たる？これはカレンダーのスパムです

スパマーは統合された電子メールカレンダーの自動イベント作成機能を悪用することにより、無視しにくい悪意のあるリンクを送信します。

背景

6月、Kasperskyの研究者は、カレンダー招待状スパムを含むフィッシング戦略に関する詳細なブログ記事で、招待状を送信するだけで、ユーザーの介入なしで、個人のカレンダーにイベントを自動的に追加できることを発表しました。必要とされるのは、盗まれたリストまたは自動生成されたリストからのメールアドレスだけです。これは脆弱性ではなく、本来のカレンダーの機能です。

分析

新しい会議への招待メールが送信されると、そのメールを見たかどうかに関係なく、カレンダーに新しいイベントがポップアップ表示されることには既に気が付いているかもしれません。これは、チームのコラボレーションを迅速かつ効率的にするために、カレンダーアプリでデフォルトで有効になっている機能です。また、デフォルトでは、すべての統合カレンダーのビジネスアカウントと個人アカウントの両方で有効になっています。この機能は、悪意のある目的で使用している攻撃者にも人気が高まっています。

Brian Krebs氏は、彼のブログで以下のように指摘しています：

「ポルノサイトや薬局サイトの広告、予想外の金銭的損失や「無料」の価値のある製品に関する通知、フィッシング攻撃やマルウェアへの誘惑など、カレンダー招待状のスパムはあらゆる範囲に及びます。 重要なことは、これらの予定に埋め込まれたリンクをクリックしないことです。また、「はい」、「いいえ」、または「多分」を選択することで、そのような招待状に応答してはなりません。

ソリューション

Googleは、Googleカレンダーの問題解決に取り組んでいます。Goolgeがスパムを排除する方法を見つけるまでの間、未承諾のリンクをクリックしないようスタッフを指導することを強くお勧めします。スパム業者は、ついつクリックしたくなるような魅力的なメッセージで悪意のあるリンクをクリックさせようとします。

Exchangeの管理者はカレンダー設定を完全に制御できます。管理者はスパムの招待状がユーザーのカレンダーに自動的に追加されないように設定し、ユーザーが悪意のあるリンクをクリックするリスクを軽減できます。この設定の管理は、組織内のOutlookユーザーと同期する必要があります。

Appleカレンダーはエンタープライズバージョンを提供しないため、ユーザーは自分のデバイスで設定を管理する必要があります。

注：Black Hills氏は2017年に公開されたブログで、GmailにおけるMailSniperと呼ばれるバイパスを詳細に説明しています。MailSniperは、ユーザーによる自動招待ブロックの試みを無視します。 本記事の執筆時点では、Googleはまだこの欠陥を修正していないようです。

影響を受けているシステムの特定

最新のカレンダーアプリケーションの多くはクラウドベースであるため、特定のユーザー権限を組織が直接制御することはほとんどないため、組織がスパムに対するユーザー設定の制御を維持できる唯一の方法は、Exchange Serverの管理によるものです。

Appleカレンダーと同様に、G Suiteに依存する組織は、リスクを軽減するためにユーザー教育に力を入れる必要があります。現在、G Suiteには、簡単な共有許可以外にはユーザーカレンダー設定を管理するオプションはありません。

詳細情報

• Kaspersky Researchブログ
• Krebs on Security Blog
• カレンダーの招待をブロックするためのVergeのガイド
• Googleコミュニティサポートスレッド
• Microsoft Exchange管理ドキュメント

Tenable コミュニティの Tenable セキュリティレスポンスチームに参加してみませんか。

現代のアタックサーフェスを総合的に管理する Cyber Exposure Platform を初めて提供した Tenable について詳細情報をご覧ください。

今すぐ Tenable.io Vulnerability Management の60日間無料トライアルをお試しください。