脅威アクターがデジタルカレンダー購読インフラを操作し、有害なコンテンツを配信していることが判明しました。
カレンダーシリーズの購読は、第三者がイベントを追加したり、通知を直接デバイスに共有したりすることを可能にします。例えば、小売業者がセール日を共有したり、スポーツ団体が試合日程を更新したりする場合です。
しかし、これらの購読は第三者サーバーが直接イベントを追加できるため、脅威アクターがユーザーをだまして通知を購読させるための偽装インフラを構築していることが、BitSightの新しい調査で明らかになりました。
悪意のあるカレンダー購読は、期限切れや乗っ取られたドメインでホストされていることが多く、大規模なソーシャルエンジニアリングに悪用される可能性があります。
一度購読が確立されると、URLや添付ファイルなどの有害なコンテンツを含むカレンダーファイルを配信することができます。
リスクは、フィッシングやマルウェア配布から、JavaScriptの実行、AIアシスタントなどの新興技術を悪用する革新的な攻撃にまで及びます。
シンクホール調査で347件の不審なカレンダードメインを発見
BitSightは、シンクホール化された1つのドメインから調査を開始し、1日あたり11,000件のユニークIPアドレスが記録されました。
シンクホールとは、サイバーセキュリティ調査で悪意のあるトラフィックを本来の標的から制御された環境(シンクホール)にリダイレクトする技術です。
この最初のシンクホールは、ドイツの祝日や学校の休暇イベントを配信する購読カレンダーのサーバーとして機能していたドメインに関連していました。
「それが私たちの注意を引きました。なぜドイツの祝日用のドメインが、.icsファイルとともに利用可能なのか?」とBitSightの研究者は記しています。
その後の調査で、さらに347件のドメイン(FIFA 2018イベント、イスラム暦ヒジュラ暦などに関連)が明らかになりました。
合計で、これら347件のドメインには1日あたり約400万件のユニークIPアドレスからアクセスがあり、地理的には米国が最も多くを占めていました。
BitSightチームは、シンクホールで2種類の同期リクエストを特定し、これらが新規購読ではなく、既存の購読カレンダーからのバックグラウンド同期リクエストであることを強く示唆しています。
「これは、期限切れドメインを乗っ取ったり登録したりした者が、カスタマイズされたカレンダー.icsファイルで応答し、これらのデバイスに追加イベントを作成できることを意味します」と彼らは記しています。
カレンダー購読は見過ごされがちなセキュリティの死角
サイバーセキュリティ企業は、今回の調査がGoogleカレンダーやiCalendarの脆弱性を明らかにしたものではなく、セキュリティリスクはサードパーティのカレンダー購読から生じていると指摘しています。
AppleやGoogleのようなプロバイダーが自社エコシステムのセキュリティ強化に大きな進歩を遂げている一方で、BitSightは、カレンダーを悪用した新たなリスクなど、他の領域ではまだ十分に対策が取られていない可能性があることを示しています。
「カレンダー購読に対する認識と防御は、十分に監視・保護されたメールソリューションと比べて、より強化されるべきです。現在のバランスの悪さは、個人・企業のセキュリティ体制の中で危険な死角を生み出しています」とレポートは結論付けています。
翻訳元: https://www.infosecurity-magazine.com/news/threat-actors-exploit-calendar-subs/
