Appleから届いた「PayPal請求書」、実は巧妙なワナ。カレンダー招待フィッシングの手口とは（ライフハッカー・ジャパン）

Appleカレンダーを使ったスパム、実は今に始まった話ではありません。iCloudユーザーが迷惑な招待状の急増を報告し始めたのは、もう10年近く前のこと。そして、詐欺師たちはフィッシングサイトへ誘導する悪質なリンクを拡散するため、この手口に何度も立ち戻ってきました。 最近では、仮想通貨詐欺につながる悪質なリンクを含んだスパム招待が大量に送られていると、テック系メディアの9to5Macが報じています。

悪意のある攻撃者は、カレンダーの招待機能を悪用して、まるでPayPalの購入通知のようなフィッシングメールを送りつけています。 何が厄介かというと、これらのメッセージはAppleの正規メールサーバーから送信されるため、セキュリティ対策やスパムフィルターをすり抜けて、いとも簡単にあなたの受信箱に届いてしまうのです。

この最新の詐欺は「コールバックフィッシング」と呼ばれる手口の一種です。その目的は、ターゲットに電話をかけさせ、機密情報を聞き出したり、デバイスに不正なアプリを接続させたりすることにあります。 この巧妙な詐欺の手口は、次のような流れで進みます。 まず、「購入請求書（Purchase Invoice）」というタイトルのカレンダー招待が送られてきます。 イベントの詳細欄には、「あなたのPayPalアカウントで高額な請求が発生しました。内容の確認、変更、または支払いのキャンセルについては、サポート番号までお電話ください」といった内容が記載されています。 狙いは、あなたが「PayPalアカウントが乗っ取られたのでは？」とパニックに陥り、慌てて電話をかけてしまうこと。もし電話してしまえば、電話口の詐欺師は巧みにあなたの個人情報を聞き出そうとしたり、返金を装ってマルウェアをダウンロードさせようとしたりするでしょう。

メッセージを詳しく調べてみると、送信元が正真正銘Appleの正規メールサーバーのアドレスであることが分かります。 これこそが、セキュリティチェックやスパムフィルターを回避できてしまう理由です。BleepingComputerが解説しているように、誰でもiCloudカレンダーでイベントを作成し、他人を招待するだけで、Appleのサーバーから招待メールを送信させることが可能なのです。 今回の場合、詐欺師たちはMicrosoft 365のメールアドレスも利用しているようです。このアドレスは実際にはメーリングリストとして機能しており、グループに追加された受信者（つまり詐欺のターゲット）にメッセージを転送します。今年初めにも、攻撃者は同様の手口を使い、本物のメールに見せかけた詐欺メールを送信していました。

ライフハッカー・ジャパン編集部