(画像クレジット:Geralt / Pixabay)
- メールはAppleのサーバーから送信され、SPF、DKIM、DMARCのチェックを回避
- 詐欺は被害者に偽の返金のためサポート番号に電話させる
- 詐欺師はユーザーにリモートアクセスツールをシステムにダウンロードさせようとする
Appleユーザーは現在、iCloudカレンダーの招待を悪用する、これまでにないフィッシングキャンペーンに直面しています。
従来の詐欺がランダムなサーバーからメールを送信するのとは異なり、これらのメッセージはApple自身のインフラを通じて送信されます。
これにより、メッセージは即座に信頼性を持ち、スパムフィルターや最高のランサムウェア対策システムでも阻止しにくくなっています。
この手口の仕組み
Bleepingcomputerによると、この詐欺はカレンダー招待の「メモ」欄にフィッシングメッセージを挿入することで機能します。
一度作成されると、Appleは自動的にその招待を信頼されたサーバーからメールで送信します。
つまり、このメッセージはSPF、DKIM、DMARCといった重要なチェックを通過し、本物のAppleメールのように見えるのです。
報告されたケースの一つでは、カレンダー招待が攻撃者が管理するMicrosoft 365アドレスに送信されました。
そこから自動的にグループのメーリングリストに転送され、詐欺の拡散範囲が拡大しました。
MicrosoftはSender Rewriting Schemeを使用してメッセージの有効性を維持しているため、フィッシングメールは本物のように見える形で届きました。
誘い文句自体はシンプルですが効果的でした。被害者にはPayPalで599ドルが請求されたと伝えられました。
メッセージは、その請求を解決するためにサポート番号に電話するよう促します。
一見普通の内容ですが、実際の目的は被害者に直接詐欺師へ電話させることです。
番号に電話をかけると、詐欺師はリモートアクセスツールをダウンロードさせようと圧力をかけてきます。
返金処理を装い、攻撃者は被害者のシステムに接続します。
その時点で、銀行口座から資金を引き出したり、悪意あるファイルを仕込んだり、個人情報を盗んだりすることが可能になります。
警戒すべき点は、コールバック詐欺自体ではなく(これはよくある手口です)、攻撃者がAppleのカレンダーサービス自体を配信ツールに変えたことです。
[email protected]のアドレスを使うことで、メールは信頼感を持ち、慎重なユーザーでも見逃してしまう可能性があります。
Appleはこの特定の悪用について公にコメントしていません。より直接的な対策が講じられるまで、ユーザー自身が警戒を怠らないことが求められます。
このような詐欺の中には、後から完全なマルウェア除去が必要となる隠れたソフトウェアのインストールに依存するものもあります。
今回のキャンペーンでは、最高のウイルス対策ソフトだけでは不十分であり、メール認証システムも本来通り機能しましたが、信頼されたプラットフォームの悪用により詐欺が通過してしまいました。
安全を守るには
- 予期しないカレンダー招待には注意しましょう。特に支払いやサポート窓口について言及している場合は要注意です。
- 怪しいカレンダー招待に記載された電話番号には絶対に電話しないでください。
- デバイスを常に最新の状態に保ち、強力なマルウェア除去機能を持つウイルス対策ソフトを使用しましょう。
- 信頼できるランサムウェア対策を使い、定期的にシステムチェックを行い、重要なアカウントを守りましょう。
- 招待が怪しいと感じたら、操作せずに削除してください。
