Threat Actors Exploit Calendar Subscriptions for Phishing and Malware Delivery
2025/11/29 InfoSecurity — デジタル・カレンダーのサブスク・インフラを操作する脅威アクターが、有害コンテンツを配布していることが判明した。誰もが知っているように、カレンダーをサブスクすれば、サードパーティがイベントを追加し、その通知がユーザーのデバイスで共有される。それにより、小売業者によるバーゲン日程や、スポーツ観戦の日程などが配信されている。
しかし、それらのイベント追加の仕組みを悪用する脅威アクターが、サードパーティのサーバを偽装するインフラを構築して、ユーザーを悪意のサブスクへと誘導する事例が、BitSight の新たな調査により確認されている。
さらに言えば、悪意のカレンダー・サブスクは、期限切れや乗っ取られたドメイン上にホストされることが多く、大規模なソーシャル・エンジニアリング攻撃に利用される可能性がある。こうした状況においてサブスクが確立されると、悪意の URL や添付ファイルなどを含む、有害なカレンダー・ファイルの配信が生じる可能性がある。このような状況がもたらすリスクは、フィッシング攻撃/マルウェア配布/JavaScript の実行などに加えて、AI アシスタントなどの最新技術を悪用した攻撃にまで及ぶとされる。
347 件の不審なカレンダー・ドメインが発見
BitSight による調査は、1つのドメインのシンクホール化から始まったが、そこで記録されたのは1日あたり 11,000 件のユニーク IP アドレスであったという。シンクホールとは、サイバーセキュリティ研究で用いられる手法であり、悪意のトラフィックを本来の標的から制御環境 (シンクホール) へと誘導するものである。
この最初のシンクホールは、ドイツの公休日や学校の祝日イベントを配布する、カレンダー・サブスクのサーバとして機能するドメインに関連していた。BitSight の研究者たちは、「なぜ、ドイツの祝日用のドメインで .ics ファイルが利用可能なのかという点で、この事実は、私たちの注目を集めた」と述べている。
さらに調査を拡大したことで確認されたのは、FIFA 2018 のイベントやイスラム暦に関連する 347件のドメインがシンクホールに追加されたことだ。これらのドメインには、1日あたり約 400万件のユニーク IP アドレスからアクセスがあり、地理的に最も集中していたのは米国であった。
BitSight チームは、シンクホール内で2種類の同期リクエストを特定した。それが示唆するのは、すでに登録されているカレンダーからの、バックグラウンド同期リクエストである。
この調査チームは、「つまり、期限切れのドメインを乗っ取った者や、それらを自身で登録している者であれば、カスタマイズされたカレンダー .ics ファイルで応答し、標的とするデバイスに悪意のイベントを追加できる」と述べている。
カレンダー購読は見落とされがちなセキュリティ上の盲点
今回の調査について、BitSight が指摘するのは、サードパーティのカレンダー・サブスクに起因するセキュリティ・リスクであり、Google Calendar や iCalendar の脆弱性が明らかにされたわけではない点だ。
Apple や Google などのプロバイダーは、エコシステムの保護において大きな進歩を遂げ、多くの分野で強固なセキュリティ態勢を整えてきた。しかし、今回の BitSight の発見が浮き彫りにするのは、カレンダーを悪用する攻撃といった新たなリスクに対して、十分な保護が行われていないという現実である。
このレポートは、「監視/保護が徹底されているメール・ソリューションと同様に、カレンダー・サブスクに対する認識と防御策も強固であるべきだ。この不均衡は、個人と企業のセキュリティ態勢に危険な盲点を生み出している」と結論づけている。
この調査の目的は、カレンダーによる情報共有の仕組みというより、サブスク機能の脆弱さを追及するものです。祝日などの便利な予定配信に慣れているところへ、期限切れや乗っ取られたドメインが紛れ込み、.ics を通じて悪意あるイベントが届いてしまうという問題が生じています。メールのような厳しい監視が行われていない経路であるため、脅威アクターにとっては、目立たずに悪用できる攻撃の入口になっていると、この記事は指摘しています。よろしければ、Calendar での検索結果も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.