カレンダー招待を悪用したフィッシング、見落とされがちな「予定表インジェクション」攻撃

背景

メールフィルタリングやURL防御が高度化する一方で、攻撃者はより「盲点」に近い経路を狙うようになっています。そのひとつが、Microsoft 365やGoogle Workspaceの「カレンダー招待」を悪用したフィッシング攻撃です。ユーザーは日々多くの会議招待を受け取っているため、「予定表に自動登録されたイベント」や「会議招待メール」を深く疑うことは少なく、本文に記載されたリンクを思わずクリックしてしまうケースが増えています。特に外部との打合せが多い営業・採用・管理部門は、業務上どうしても見知らぬ相手からの招待を受けざるを得ず、攻撃者にとって格好の標的となっています。従来のメールセキュリティ製品も、「会議招待」という業務上必要なメッセージは通しやすく設定されているため、この経路を使った攻撃は検知されにくい傾向があります。

実態

カレンダー招待フィッシングの代表的な手口は、攻撃者が実在の企業やサービス名を名乗り、「契約更新の打合せ」「請求内容確認のWeb会議」「システムメンテナンス説明会」などの名目で予定を作成し、招待先としてターゲットのメールアドレスを指定するものです。Microsoft 365やGoogleカレンダーの設定によっては、「招待メールを開かなくても自動的に予定表へ登録」されるため、ユーザーはある日突然、自分のカレンダーに見覚えのない予定を発見します。その詳細欄には「会議参加はこちら」「資料はこちらからダウンロード」などと書かれたリンクが貼られており、実際には偽のログインページやマルウェア配布サイトに誘導されます。また、スパムとしてマークされにくくするため、本文は極めて簡素で、添付ファイルも使わないケースが多く、従来のメールシグネチャベースの検知をすり抜けやすいのが特徴です。さらに、攻撃者はタイムゾーンや休日情報を考慮し、「忙しそうな時間帯」や「会議が立て込んでいる時期」に招待を送ることで、ユーザーが詳細をよく確認せずにクリックしてしまう心理的隙も突いてきます。

影響と対策

予定表インジェクションに成功すると、認証情報窃取やマルウェア感染を経由して、メール・クラウドストレージ・社内ポータルなどへの不正アクセスに繋がります。対策としては、まずユーザー側の意識改革が重要です。「カレンダーに勝手に入った予定は疑う」「詳細欄のリンクからではなく、必ず公式サイトや既知のURLからアクセスし直す」「不明な送信者からの招待は承諾前に別手段で確認する」といったルールを徹底します。技術的には、Microsoft 365やGoogleカレンダーの設定で「自分が承諾していない招待は自動で予定表に追加しない」よう組織ポリシーを変更することが推奨されます。また、FortiGateやCheck PointのSecure Email Gateway機能を活用し、カレンダー招待メール内のURLも他メールと同様にサンドボックス解析・URLフィルタリングの対象に含めることで、既知の悪性サイトへの誘導をブロックできます。管理者は、組織全体のカレンダー共有設定や外部ユーザーからの招待受付ポリシーも見直し、業務上不要な公開範囲を縮小することが重要です。さらに、DLP機能により、カレンダー経由で機密情報が外部に送信されることを防ぐ設定も有効です。

まとめ

「予定表」は本来生産性向上のためのツールですが、設定次第では攻撃者にとっての「静かな侵入口」となり得ます。メールだけでなく、カレンダーもフィッシングのチャネルとして悪用される時代において、ユーザー教育と設定の見直しが欠かせません。PSIでは、Microsoft 365/Google Workspaceのセキュリティ設定レビューと、メール・Webセキュリティ製品を組み合わせたカレンダー経由攻撃の防御設計、そしてユーザー向け教育コンテンツの提供を通じて、予定表インジェクション対策を包括的にご支援いたします。

会社概要

社名：株式会社ピーエスアイ（PSI）
所在地：〒160-0022 東京都新宿区新宿5丁目5-3 建成新宿ビル4階
設立：1994年
TEL：03-3357-9980
FAX：03-5360-4488
URL：https://www.psi.co.jp
事業内容：サイバーセキュリティ製品の販売および導入支援、運用サポート、ITコンサルティング

報道関係者様からのお問合せ先

株式会社ピーエスアイ
広報担当：内藤
電話番号：（03）3357-9980
Eメールアドレス：psi-press@psi.co.jp