Google Calendar now lets you block invitation phishing attempts
2021/12/16 BleepingComputer — Google は、フィッシング詐欺などの悪意のキャンペーンに多用される、Google Calendar への不要な招待状をブロックし、追加されないようするための機能をリリースした。この機能は、「招待状を自動的に追加する」という設定を改善するものであり、招待状の自動的なカレンダーへの追加、もしくは、Respond to Event Invitations (RSVP) のみを、選択できるようになった。
Google の説明によると、「この追加コントロールにより、不要なイベントが表示されず、重要なイベントだけが表示されるため、手作業を減らしてカレンダーを管理することができる。この機能はデフォルトではオフになっており、ユーザーは「Googleカレンダーを開く」→「設定に移動」→「イベント設定にスクロール」→「自分のカレンダーに招待状を追加」でオンにすることが可能だ」と述べている。
この新機能は、Google Workspace および、G Suite Basic/Business/個人のGoogle アカウントを所有する顧客を対象に、ラピッド・リリースのペースで順次提供が開始される。
マルウェアのインストールやフィッシングページへの招待状
Google は2年以上前から伝えているが、Google Calendar のユーザーに悪意の招待状を自動的に送りつける、スパマーをブロックするためのソリューションに取り組んできた。
多くのユーザーにとって、当初は何の問題もないように見えたが、ユーザーからの報告によると、これらのスパム・イベントの中には、標的とするユーザーを悪意の URL 経由でフィッシング・ランディング・ページにリダイレクトするものがあった。
これらの攻撃の最終的な狙いは、ターゲットの認証情報の窃取や、悪意のサイトを経由したマルウェア感染などである。その頃の Google は、「カレンダーで発生しているスパムを認識している。この問題を解決するために真摯に取り組んでいる」と述べ、スパムのカレンダー招待状を報告/削除する方法を紹介していた。
Google Calendar は、デスクトップ版では Web アプリとして、モバイル版では Android/iOS アプリとして提供されているため、スパマーは膨大な数のターゲットにリーチできる可能性がある。Google Calendar の Android アプリだけでも、10億回以上ダウンロードされていることが、Play Store のエントリーで明らかになっており、その規模が窺える。
Google Calendar のイベント通知は、正確で手間いらずなので、誰もが重宝していると思います。特に、出張が多い人や、旅行好き人などは、頼りにしているはずです。当然、そこに付け込もうとする脅威アクターも多いので、ご用心です。旅行予約サイトなどの B-to-C では、イベント通知の受け取りの可否を選択できるのがベストですが、そういうのを見た記憶がありません。ただ、そのあたりが厳格になりすぎると、個人間での Zoom ミーティング通知のようなものが、面倒になってしまいます。利便性と安全性のバランスは、とても難しいです。
IoT OT Security News 