【ITニュース解説】iCloud Calendar abused to send phishing emails from Apple’s servers
2025年09月08日に「BleepingComputer」が公開したITニュース「iCloud Calendar abused to send phishing emails from Apple’s servers」について初心者にもわかりやすいように丁寧に解説しています。
ITニュース概要
iCloudカレンダーの招待機能が悪用され、Appleの公式サーバーからフィッシングメールが送られている。これらは購入通知を装い、スパムフィルターを回避してユーザーの受信箱に届きやすいため注意が必要である。
ITニュース解説
今回のニュースは、Appleが提供するiCloudカレンダーの招待機能が、巧妙なフィッシング詐欺に悪用されているというセキュリティ上の問題についてだ。システムエンジニアを目指す上で、このようなサイバー攻撃の手口とその対策を理解することは非常に重要になる。
まず、フィッシングとは何かを解説する。フィッシングとは、攻撃者が銀行や有名なIT企業といった信頼できる組織になりすまし、偽のメールやメッセージを送りつけて、受信者をだます詐欺行為のことだ。その主な目的は、ユーザー名、パスワード、クレジットカード情報などの個人情報を盗み取ったり、コンピューターに不正なプログラム(マルウェア)を感染させたりすることにある。一般的なフィッシングでは、偽のメールに本物そっくりの偽サイトへのリンクが含まれており、そこに情報を入力させることで個人情報を詐取する。
今回のiCloudカレンダーの悪用は、このフィッシングの手口をさらに巧妙にしたものだ。攻撃者は、iCloudカレンダーの「イベント招待」という正規の機能を利用している。iCloudカレンダーは、友人や同僚と予定を共有したり、イベントの調整をしたりする際に便利なツールだが、この招待機能が悪用された。攻撃者は、偽のイベントを作成し、そのイベントの「説明」欄や「場所」欄に、フィッシングのメッセージや不正なウェブサイトへのリンク、あるいは偽の電話番号を書き込んで、ターゲットとなるユーザーに招待を送るのだ。
この手口が特に危険なのは、これらの不正な「購入通知」を装ったメールが「Appleの公式メールサーバーから直接」送信される点にある。通常のフィッシングメールは、攻撃者が用意した信頼性の低いメールサーバーから送られるため、多くのメールサービスに搭載されている「迷惑メールフィルター(スパムフィルター)」によって、受信箱に届く前にブロックされたり、迷惑メールフォルダに振り分けられたりすることが多い。迷惑メールフィルターは、送信元の正当性やメールの内容を分析して、怪しいメールを識別する。しかし、今回のケースでは、AppleのiCloudカレンダーの正規の機能を通じて招待が送られるため、メールの送信元は正真正銘のAppleのサーバーとして認識される。これにより、迷惑メールフィルターが「これは正規のAppleからのメールである」と判断し、高い確率でフィルターをすり抜けて、ユーザーの受信箱に直接届いてしまうのだ。これは、システムが持つ正規の信頼性を逆手にとった、非常に悪質な攻撃と言える。
攻撃者が送る通知の内容も、ユーザーの心理的な隙を突くように作られている。例えば、「あなたは〇〇ドルで高価なデバイスを購入しました。この購入をキャンセルしたい場合は、記載された電話番号までご連絡ください」といった、身に覚えのない高額な商品の購入通知を装うことが多い。多くの人は、身に覚えのない高額な請求に直面すると、不安や焦りを感じ、すぐに問題を解決しようと行動してしまう。攻撃者はこの心理を狙って、記載された電話番号に連絡させることを目的としている。
このような、受信者に特定の電話番号に「電話をかけさせる」ことで情報を詐取しようとする手口は、「コールバックフィッシング」と呼ばれる。従来のフィッシングがリンクをクリックさせて偽サイトに誘導するのに対し、コールバックフィッシングでは、電話を通じて直接会話することで、ユーザーから個人情報を聞き出すことを試みる。電話の向こうには、攻撃者側が用意したオペレーターがおり、彼らはAppleのサポート担当者や、銀行の担当者などになりすまし、「購入のキャンセル処理のため」と称して、クレジットカード情報、銀行口座番号、パスワード、生年月日、社会保障番号など、あらゆる種類の機密情報を聞き出そうとする。電話でのやり取りは、メールやウェブサイトよりも人間的な要素が強く、相手の言葉巧みな誘導に乗せられやすいため、特に注意が必要だ。
このような巧妙な攻撃から身を守るためには、いくつかの重要な対策を講じる必要がある。まず、iCloudカレンダーに身に覚えのない招待が届いた場合、安易にそのイベントを開いたり、承認したりしないことが重要だ。もし開いてしまっても、イベントの詳細に記載されているリンクをクリックしたり、電話番号にかけたりしてはならない。すぐにそのイベントを削除し、可能であれば不審なものとして報告するべきである。次に、メールやカレンダー通知で「購入通知」を受け取った場合も、通知内のリンクや電話番号を信用せず、必ずAppleの公式ウェブサイトや、公式のサポートアプリを自分で開いて、購入履歴を直接確認する習慣をつけることが大切だ。疑わしいと感じたら、通知に記載された情報ではなく、自分で公式に公開されている正規の連絡先(Appleの公式サイトに記載されている電話番号など)を調べて連絡を取るのが鉄則だ。さらに、日頃からApple IDなどのアカウントには「二段階認証」を設定しておくことも極めて有効だ。二段階認証は、パスワードだけでなく、スマートフォンに送られる認証コードなど、二つ目の認証手段が必要となるため、たとえパスワードが盗まれても、攻撃者による不正ログインを防ぐことができる。
今回のiCloudカレンダーの悪用事例は、私たちが日常的に利用している便利なITサービスやツールが、いかにして悪意のある攻撃者に狙われ、悪用される可能性があるかを示す典型的な例だ。システムエンジニアを目指すのであれば、このようなサイバー攻撃の手口や、それに対する防御策を深く理解することが不可欠となる。技術が進化するにつれて、サイバー攻撃も常に進化し、より巧妙になっているため、常に最新の脅威に注意を払い、高いセキュリティ意識を持つことが、自分自身の情報を守るだけでなく、将来開発するシステムやサービスを利用するユーザーを守るためにも極めて重要だ。