フィッシング攻撃の手口は巧妙で、攻撃者はGoogleカレンダーの招待状機能を悪用し、正規のイベント招待のように見えるメールを送信。受信者は、見慣れたGoogleカレンダーからの通知であるため、警戒心を抱きにくいといのです。そしてメールに含まれるリンクをクリックすると、偽のログインページやマルウェア配布サイトにリダイレクトされ、被害に遭う可能性があります。

Check Point Researchは、この攻撃の特徴として以下の点を指摘しています。

動機：金銭目的の可能性が高い。窃取された情報は、不正アクセスや個人情報の売買などに悪用される恐れがある。
規模：過去4週間で約300の組織に影響が出ており、被害は拡大傾向にある。
手口：Googleカレンダーの正規機能を悪用しているため、従来のフィッシングメールよりも見分けがつきにくい。

この種の攻撃から身を守るためには、どんな対策が必要でしょうか？

●送信元を確認する
Googleカレンダーの招待状であっても、送信元のアドレスが不審な場合は注意が必要です。

●リンク先を確認する
リンクをクリックする前に、URLをよく確認し、不審な点がないかを確認します。短縮URLなどは特に注意が必要です。

●パスワード管理を徹底する
推測されにくい強力なパスワードを使用し、定期的に変更することが重要です。また、二段階認証を設定することで、不正ログインのリスクを軽減できます。

●セキュリティ意識を高める
見慣れたサービスからのメールであっても、安易にリンクをクリックしないよう、常に警戒心を持つことが大切です。

Check Point Researchは、今後も同様の手口を用いた攻撃が増加する可能性があると警告しています。ユーザーが日常的に利用するサービスを悪用することで、警戒心を低下させるという巧妙な手口を用いたこの攻撃。ユーザーは、上記の対策を講じるだけでなく、最新のセキュリティ情報にも注意を払う必要がありそうです。

元のニュース記事: https://www.theregister.com/2024/12/18/google_calendar_spoofed_in_phishing_campaign/