Malwarebytesは5月14日(米国時間)、「iPhone calendar spam attacks on the rise - Malwarebytes Labs|Malwarebytes Labs」において、最近iPhoneユーザからの「カレンダーが乗っ取られたイベントで埋め尽くされている」という報告が増加していると伝えた。この現象は「カレンダースパム」と呼ばれている。Malwarebytesはカレンダースパムの詳しい手口を説明しており、カレンダースパムに対する知識をつける上で参考になる。

  • iPhone calendar spam attacks on the rise - Malwarebytes Labs|Malwarebytes Labs

    iPhone calendar spam attacks on the rise - Malwarebytes Labs | Malwarebytes Labs

カレンダースパム自体は新しいサイバー攻撃ではない。カレンダースパムは2016年のAppleのiCloudカレンダーで大きな問題となった。当時、AppleがiClpudカレンダーにいくつかの保護機能を導入しており、これらの対策はうまく機能している。最近iPhoneユーザーがカレンダースパムの被害に遭遇することが増えているのは、こうした機能をかいくぐってユーザーをだますソーシャルエンジニアリング的な手口が洗練されてきたことに理由がある。

まずサイバー犯罪者は、不正広告、侵害されたWordPressサイト、検索エンジン最適化トリックなどを駆使して、ユーザーを偽の詐欺サイトへ誘導する。このサイトにはユーザーがボットではないことを示すためのキャプチャが設定されている。もちろん、これは偽のキャプチャだ。

1つ目のテクニックはこの偽のキャプチャにあるという。このキャプチャは実際には「カレンダーを追加するリンク」になっており、クリックするとカレンダーを追加するかどうかを尋ねられる。サイバー攻撃者の工夫はこのあとで、カレンダー名に大量の空白と偽のメッセージが含まれているという点にある。カレンダー名が本来のメッセージを押しのけて、偽のカレンダー名がメッセージとして「見える」ように工夫している。

手口自体はシンプルなものであり、注意深く見ればこれが不審なダイアログであることは判断できる。しかし、何も考えずに真ん中に表示されたテキストだけを読んでいると、引っかかる可能性は十分にある。

ここでだまされてOKボタンを押してしまうと、偽のカレンダーが追加される。このカレンダーには「ウイルスに感染していることが検出されました」といったユーザーの気を引くイベントが登録されており、ユーザーにリンクをクリックさせて詐欺行為を進めようとしてくる。

キャプチャを装ったカレンダー追加の詐欺に気がついてキャンセルした場合、そのまま偽のサイトへ誘導され、最終的に偽のアプリのインストールへ誘導させる仕組みになっている。2つ目の工夫はこのあとで提案される偽のアプリだ。これらアプリはほとんどが高評価で、存在期間も4年以上と長い。これにだまされてアプリをインストールしていまうと、攻撃者の思うツボだ。アプリは1週間で8.99米ドルや9.99米ドルといった短期間高額なサブスクリプションが設定されており、インストールすると短期間にかなりの金額が持っていかれる仕組みになっている。

これら偽のアプリは評価が高く存在期間が長いものの、評価数が少ないという特徴があるという。これは攻撃者が評価を定期的にリセットしている可能性がある。たとえ高評価で長く存在しているアプリだったとしても、評価の絶対数が少ない場合は注意が必要だ。これらはVPNアプリやセキュリティアプリであることが多いとされており、この条件に当てはまる場合は慎重に判断したほうがよいだろう。

Malwarebytesによると、こうしたサイバー攻撃に対してAppleが取れる対策はあまりない可能性があるという。サイバー攻撃者はAppleが提供する機能を使っており、ユーザーもその機能を使って同意した上でインストールや登録を行っているためだ。ユーザー自身がこうした巧妙なサイバー攻撃があることを知り、違和感を感じた場合はすぐに登録やインストールを行わずに、じっくり検討して対処することが望まれる。