テクノロジー

2019.09.12 07:00

グーグルカレンダーに「勝手に予定を追加する」攻撃が急増

dennizn / Shutterstock.com

筆者は2017年の記事で、グーグルカレンダーに潜むセキュリティの脅威を指摘していた。その年に開催されたセキュリティのイベントWild West Hackin’ Festで、2人の専門家がカレンダーを通じてマルウェアが拡散される危険性を述べていた。

その後、筆者は今年6月の記事で再び、同じ問題が15億人にも及ぶGメールユーザーを危険にさらしていると警告した。しかし、この記事に対しグーグルの広報担当者は「当社のプロダクトは悪意のあるコンテンツの拡散を防止しており、常に警戒を行っている」と述べたのみだった。さらに、「グーグルは利用者に対し、Chromeブラウザのフィルターで悪意のあるサイトを警告している」とも主張していた。

その後、グーグルはようやく問題の深刻さに気づき、対処を開始した模様だ。背景には、グーグルカレンダーの利用者の間から、身に覚えのない予定がカレンダーに追加されているとの申し出が相次いでいることがあげられる。

グーグルの従業員のLesley Paceは9月2日、グーグルカレンダーのサポートフォーラムの投稿で次のように述べた。「当社はカレンダーにスパムが発生していることを認識しており、この問題の解決に懸命に取り組んでいる。進展があり次第、このスレッドに投稿する」

グーグルカレンダーはデフォルト設定では、見知らぬ他人から届いた招待の予定も表示される仕様になっている。この脆弱性を利用したサイバー犯罪者らがカレンダー経由で、悪意のあるリンクをクリックさせようとしているのだ。

犯罪者らは誘導先のサイトから、銀行口座やクレジットカード情報などを収集しようとしている。

グーグルがようやく問題を認めたことは評価できるが、これは彼らが言うようにスパムではなく、セキュリティ上の重大な脅威だというのが筆者の主張だ。Paceはフォーラムの投稿で、問題を懸念するユーザーが参考にすべき記事へのリンクを掲載したが、この対処法は本来であれば、全てのグーグルカレンダーユーザーの間で共有されるべきものだ。

カレンダーへの攻撃を防ぐために最も有効な対策は、グーグルカレンダーの設定で自分が返信した招待だけが表示されるようにすることだ。設定メニューの「招待状を自動的に追加」のプルダウンメニューを、「いいえ、返信した招待状のみを表示します」にしておこう。

さらに、Gメールの内容が自動的にカレンダーに追加される機能もオフにしておくべきだ。設定の中の「Gmail からの予定を自動的にカレンダーに追加する」のチェックボックスをオフにすると、この機能は解除できる。

編集=上田裕資

ForbesBrandVoice

人気記事