Apple公式を装うフィッシング詐欺に要注意 iCloudカレンダーを悪用する手口とは：セキュリティニュースアラート

AppleのiCloudカレンダー機能が悪用され、正規サーバから送信されたように見えるフィッシングメールが急増している。認証をすり抜けてユーザーを詐欺に誘導する手口と対策を解説する。

[後藤大地，有限会社オングス]

　Bleeping Computerは2025年9月7日（現地時間、以下同）、Appleが提供する「iCloud」のカレンダー機能が悪用され、Appleの正規メールサーバから送信されたかのように見せかけたフィッシングメールが確認されたと報じた。購入通知を装い、受信者をだまして攻撃者の指定する電話番号に連絡させるフィッシング攻撃が確認されている。

Appleの正規サーバを利用した巧妙なフィッシング攻撃

　報告によると、ある読者が受け取った電子メールには「お客さまの『PayPal』アカウントに599ドルが請求されている」と記載され、支払いに関する問い合わせや変更を希望する場合は特定の電話番号に連絡するよう促す内容が含まれていた。受信者に不正な請求があったと誤認させ、詐欺師の「サポート窓口」に電話をかけさせることを狙っている。電話をかけると、詐欺師はアカウントが不正利用されていると主張し、返金処理のためにPCへのリモート接続を求めるケースがある。実際にはこの方法で被害者の銀行口座から金銭の引き出しやマルウェアの感染、データを窃取する行為が過去に確認されている。

　今回メールの送信元が「noreply@email.apple.com」となっており、SPFやDKIM、DMARCといった主要なメール認証チェックを全て通過していた点が指摘されている。これによって受信者は、Appleのメールサーバから送信された正規の通知であると錯覚してしまう。

　調査によると、このメールはiCloudのカレンダーアプリの招待機能を利用したもので、攻撃者はカレンダーイベントの「Notes」欄にフィッシング文面を埋め込み、外部のメールアドレスを招待する形で送信していた。iCloud Calendarではイベント作成時に外部ユーザーを招待すると、Appleのサーバから自動的に「招待メール」が送信される仕組みになっており、これが悪用されている。

　BleepingComputerが確認したケースにおいて、招待先として「Billing3@WilliamerDickinsonerLTD.onmicrosoft.com」という「Microsoft 365」アカウントが使用されていた。このアカウントはメーリングリストとして機能しており、受信したメールを複数の宛先に自動転送する仕組みを持っていたとみられる。

　通常、電子メールが転送されるとSPFチェックに失敗することが多い。しかし、Microsoft 365ではSender Rewriting Scheme（SRS）を採用しており、Return-Pathを書き換えることで転送後もSPFチェックを通過できるようになっている。今回のケースでも、Appleのサーバから送信されているメールがMicrosoft 365を経由しても認証チェックをすり抜けることが可能となっていた。

　BleepingComputerはAppleに対しこの問題について問い合わせたが、記事公開時点では回答を得られていない。予期せぬカレンダー招待メールや不審なメッセージを含むイベント通知を受け取った場合において、通常の迷惑メールと同様に無視、削除するなどの対応が推奨される。