BleepingComputerは、攻撃者がiCloudカレンダーの招待機能を悪用し、PayPalの通知を装ったフィッシングメッセージを送信していると報じています。この攻撃の特徴は、Appleのインフラから配信されるため、セキュリティフィルタを回避しやすい点です。
BleepingComputerは次のように説明しています。「このメールはiCloudカレンダーの招待で、攻撃者はNotes欄にフィッシング文面を記載し、自分たちが管理するMicrosoft 365のメールアドレスを招待しています。iCloudカレンダーでイベントを作成して外部を招待すると、Appleのサーバー(email.apple.com)から、カレンダー所有者名と『noreply@email[.]apple[.]com』という差出人でメール招待が送られます。」
メールの本文は、受信者のPayPalアカウントで600ドル相当の請求があったと伝え、キャンセルしたい場合は記載の電話番号に連絡するよう促します。メッセージには次のように記載されています。
「お客様のPayPalアカウントに599.00ドルの請求が行われました。今回のお支払いの受領を確認しています。この支払いについて相談や変更を希望される場合は、[電話番号]のサポートまでご連絡ください。キャンセルは同番号まで。」
受信者が電話をかけると、攻撃者は認証情報の提示を求めたり、リモートアクセスツールのインストールを誘導して端末の制御を得ようとします。
BleepingComputerは次のように述べています。「フィッシングの“餌”そのものは特段目新しいものではありませんが、正規のiCloudカレンダー招待機能、Appleのメールサーバー、Appleの送信元アドレスを悪用することで、正当性があるように見せかけられ、信頼できる送信元から来たメールとしてスパムフィルタを回避できる可能性があります。見慣れない文面のカレンダー招待が届いた場合は、基本的に注意を払うべきです。」
KnowBe4のセキュリティ意識向上トレーニングは、従業員のセキュリティ意識を高め、日々求められるセキュリティ上の判断に従業員一人ひとりが的確な意志決定を下すことを可能にします。世界の7万社を超える企業や団体がKnowBe4を採用して、防御の最終ラインとして「人」による防御壁を構築して、セキュリティ文化の形成につなげています。
詳細については、BleepingComputerの記事を参照してください。
原典:KnowBe4 Team著 2025年9月11日発信 https://blog.knowbe4.com/phishing-campaign-abuses-icloud-calendar-invites