Google カレンダーを悪用したサイバー攻撃に要注意 その巧妙な手口：セキュリティニュースアラート

Google カレンダーがサイバー犯罪者に標的にされている。フィッシング詐欺が主な攻撃で、偽の招待やWebサイトを通じて個人情報が盗まれる。Googleは対策を強化し、ユーザーも基本的なセキュリティ対策を心掛けることが重要とされている。

[後藤大地，有限会社オングス]

　「WIRED」は2025年2月18日（現地時間）、「Google カレンダー」を悪用したサイバー攻撃の増加について報じた。日常的に使用するシンプルなアプリであるGoogle カレンダーがサイバー犯罪者の標的となっていると指摘している。

便利なGoogle カレンダー、悪用されるリスクと対応策

　Google カレンダーを悪用した攻撃の多くはフィッシング詐欺の一種とされ、偽のWebサイトに誘導して個人情報を盗み取るものとされている。最近増加している攻撃手法はどのようなものか。

　最近報告された攻撃手法では攻撃者がGoogle カレンダーの招待を装った電子メールを送り、ユーザーをreCAPTCHAページやサポートボタンを装ったページに誘導するフィッシング攻撃が確認されている。この攻撃では正規のGoogleのWebサイトに見えるページで個人情報を入力させることで、不正アクセスにつながる可能性がある。

　また企業内での利用が多いGoogle カレンダーでは攻撃者が組織の情報を収集し、実際に存在する役員やオフィスの住所を使用してより信頼できるように見せかけた偽の招待を作成することもある。過去にはGoogle カレンダーのイベント説明欄に埋め込まれたコードを利用し、遠隔操作型トロイの木馬（RAT）を実行するPoC（概念実証）も報告されている。この攻撃は実際には悪用されなかったが、Google カレンダーを通じた攻撃手法の多様性を示す例とされている。

　Googleはカレンダーアプリのセキュリティ対策を継続的に強化しており、スパムやフィッシング、マルウェアへの保護機能を定期的に更新している。またユーザー側でも幾つかの基本的な対策を講じることで被害を未然に防ぐことが可能だ。

• Google カレンダーアプリおよびWebブラウザを常に最新の状態に保つ：　Googleは脆弱（ぜいじゃく）性を修正する更新を定期的に提供しているため、最新バージョンを使用することでリスクを軽減できる
• 不審なリンクに注意する：　送信元がGoogle カレンダーであっても予期しない招待や不審なイベントリンクには慎重に対処する
• リンクの正当性を確認する：　送信元が正規のGoogle カレンダーであるかどうかを確認するために、電子メールの詳細ヘッダを確認する。「Gmail」では電子メールの本文右上にある設定メニューをクリックし、「メッセージのソースを表示（Show original）」を選択することで送信元アドレスを確認できる
• 二要素認証（2FA）の有効化：　「Google アカウント」を保護するために二要素認証を設定しておく。また、Googleアカウントと連携している外部アプリを定期的に見直し、不要なアプリは削除することが推奨される

　Google カレンダーは便利なツールである一方で、その普及度の高さゆえにサイバー犯罪者の標的となりやすい。日々の予定管理においても慎重なセキュリティ対策を心掛けることが求められる。