現在進行中のフィッシング詐欺が、Googleカレンダーの招待状やGoogleドローイングを悪用してユーザーの認証情報を盗み取る手口が確認されています。セキュリティ企業チェック・ポイントによると、この攻撃は過去4週間で300以上のブランドに対して4,000通を超えるメールを送信したとのことです。攻撃対象は教育機関や医療サービス、建設会社、銀行など多岐にわたり、特に招待状が他の参加者の名前を挙げることで一見無害に見えるため、受信者は警戒感を抱きにくいという特徴があります。
この攻撃の核心は、Googleカレンダーを利用して送信されるミーティング招待状で、招待状内にはGoogleフォームやGoogleドローイングに繋がるリンクが埋め込まれています。このリンクは、通常はreCAPTCHAやサポートボタンに偽装されており、ユーザーにもう一つのリンクをクリックするよう促す仕組みです。チェック・ポイントによると、Googleカレンダーのサービスを利用することで、攻撃者はスパムフィルターを回避して、合法的なGoogleのサービスから来たメールとして見せかけることができます。
また、攻撃者はGoogleカレンダーのイベントをキャンセルし、参加者にメッセージを送ることで、さらにフィッシングメールの数を増やすことが可能です。このメッセージには追加のリンクを含めることもでき、ターゲットをフィッシングページへ誘導します。
Googleカレンダーを利用したフィッシングは新しい手法ではなく、過去にもGoogleはこの種の招待状をブロックするための保護を進めていました。しかし、Google Workspaceの管理者がこれらの保護を有効にしなければ、招待状は自動的にカレンダーに追加され続けるため、注意が必要です。チェック・ポイントは、すべてのミーティング招待に警戒を払い、リンクをクリックするよう促された場合は、送信者を信頼できると確認するまで無視することを推奨しています。
