TokyoBlackHatNews

海外のセキュリティニュースをお届けします

bleepingcomputer.com

iCloudカレンダーが悪用され、Appleのサーバーからフィッシングメールが送信される

Byt0ddycat

9月 8, 2025 #AI in Cybersecurity, #AI Phishing, #Apple, #callback scam, #Email Security, #iCloud Calendar, #Microsoft 365, #PayPal, #Social Engineering, #spam filters

Image

iCloudカレンダーの招待が悪用され、購入通知を装ったコールバック型フィッシングメールがAppleのメールサーバーから直接送信されています。これにより、スパムフィルターを回避してターゲットの受信箱に届く可能性が高くなっています。

今月初め、読者がBleepingComputerに、受信者のPayPalアカウントから$599が請求されたとするメールを共有しました。このメールには、支払いについて話し合う、または変更を希望する場合の電話番号が記載されていました。

「お客様へ、あなたのPayPalアカウントに$599.00が請求されました。最近の支払いの受領を確認しています。」とメールには書かれていました。

「この支払いについて話し合う、または変更を希望される場合は、サポートチーム(‪+1 (786) 902-8579)までご連絡ください。キャンセルをご希望の場合も‪+1 (786) 902-8579までご連絡ください。」と続いていました。

Image
フィッシングメールに悪用されたiCloudカレンダーの招待
出典: BleepingComputer

これらのメールの目的は、受信者にPayPalアカウントが不正に請求されたと思い込ませ、詐欺師の「サポート」電話番号に電話をかけさせることです。

電話をかけると、詐欺師はあなたのアカウントがハッキングされた、または返金手続きを行うためにあなたのコンピュータに接続する必要があると脅し、ソフトウェアのダウンロードと実行を求めてきます。

しかし、過去の同様の詐欺では、このリモートアクセスが銀行口座からの金銭窃取マルウェアの配布、またはコンピュータからのデータ窃取に利用されていました。

iCloudカレンダーの招待を悪用したメール送信

このメールの誘導は典型的なコールバック型フィッシング詐欺ですが、奇妙だったのは、noreply@email.apple.comから送信されており、SPF、DMARC、DKIMのメールセキュリティチェックをすべて通過していたことです。これは、正当にAppleのメールサーバーから送信されたことを意味します。

Authentication-Results: spf=pass (sender IP is 17.23.6.69)
 smtp.mailfrom=email.apple.com; dkim=pass (signature was verified)
 header.d=email.apple.com;dmarc=pass action=none header.from=email.apple.com;

上記のフィッシングメールからも分かるように、このメールは実際にはiCloudカレンダーの招待であり、攻撃者はフィッシングの文面をNotes欄に記載し、彼らが管理するMicrosoft 365のメールアドレスを招待しています。

iCloudカレンダーのイベントが作成され、外部の人が招待されると、Appleのサーバー(email.apple.com)から、カレンダー所有者の名前と「noreply@email.apple.com」のメールアドレスで招待メールが送信されます。

BleepingComputerが確認したメールでは、招待はMicrosoft 365アカウント「Billing3@WilliamerDickinsonerLTD.onmicrosoft.com」宛てとなっていました。

以前のPayPalの「新しい住所」機能を悪用したフィッシングキャンペーンと同様に、この招待が送信されたMicrosoft 365のメールアドレスは、受信したメールを自動的にグループ全員に転送するメーリングリストであると考えられています。

この場合、メーリングリストのメンバーがフィッシング詐欺のターゲットとなります。

メールが最初にAppleのメールサーバーから送信された場合、Microsoft 365によって転送されると、通常はSPFメールチェックに失敗します。

これを防ぐために、Microsoft 365はSender Rewriting Scheme(SRS)を使用してReturn pathをMicrosoftに関連付けられたアドレスに書き換え、SPFチェックを通過できるようにしています。

Original Return-Path: noreply@email.apple.com
Rewritten Return-Path: bounces+SRS=8a6ka=3I@williamerdickinsonerltd.onmicrosoft.com

フィッシングの誘導自体には特別な点はありませんが、正規のiCloudカレンダー招待機能、Appleのメールサーバー、Appleのメールアドレスが悪用されていることで、メールに信頼性が加わり、信頼できる送信元からのメールとしてスパムフィルターを回避する可能性があります。

一般的なルールとして、見覚えのないカレンダー招待や不審なメッセージが含まれている場合は、注意して扱うべきです。

BleepingComputerはこの詐欺についてAppleに問い合わせましたが、回答は得られませんでした。

翻訳元: https://www.bleepingcomputer.com/news/security/icloud-calendar-abused-to-send-phishing-emails-from-apples-servers/

By t0ddycat

Related Post

bleepingcomputer.com

チェコのサイバー機関、中国製技術の重要インフラ利用に警鐘

9月 8, 2025 t0ddycat
bleepingcomputer.com

AI搭載マルウェアが2,180のGitHubアカウントを「s1ngularity」攻撃で侵害

9月 7, 2025 t0ddycat
bleepingcomputer.com

VirusTotal、SVGファイルに隠されたマルウェアフィッシングキャンペーンを発見

9月 7, 2025 t0ddycat

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です


You missed

bleepingcomputer.com

チェコのサイバー機関、中国製技術の重要インフラ利用に警鐘

2025年9月8日 t0ddycat
bleepingcomputer.com

iCloudカレンダーが悪用され、Appleのサーバーからフィッシングメールが送信される

2025年9月8日 t0ddycat
bleepingcomputer.com

AI搭載マルウェアが2,180のGitHubアカウントを「s1ngularity」攻撃で侵害

2025年9月7日 t0ddycat
bleepingcomputer.com

VirusTotal、SVGファイルに隠されたマルウェアフィッシングキャンペーンを発見

2025年9月7日 t0ddycat