サイバーニュース.jp

世界のサイバーなニュースを配信

放置されたiCalドメインが400万台のデバイスに脅威を与える

カテゴリ:

デジタルカレンダーの隠れたリスク

私たちの日常生活において、デジタルカレンダーは個人的な予定管理や仕事のコミットメントに不可欠なツールとなっています。しかし、この利便性の裏には、数百万ものデバイスを未知のセキュリティ脅威に晒す潜在的なリスクが潜んでいます。Bitsight TRACEによる最近の調査で、iCalendar同期要求に関連する390以上の放置されたドメインが、主にiOSおよびmacOSユーザーからなる約400万台のデバイスからの同期呼び出しを受信していることが明らかになりました。

見過ごされてきた攻撃経路

これらの忘れ去られたカレンダーサービス関連ドメインは、これまで見過ごされてきた大規模な攻撃対象領域となっています。従来のフィッシング詐欺が不審なメールに対するユーザーの注意に依存するのに対し、カレンダーを介した攻撃はプロトコルの信頼性とユーザーの油断を悪用します。ユーザーが外部カレンダー(祝日、イベントリマインダー、プロモーションなど)を購読すると、デバイスはそのドメインへの定期的な同期要求を設定します。

もしドメインが期限切れになったり、乗っ取られたりした場合、攻撃者は悪意のあるイベントを挿入することができます。これらのイベントには、悪意のあるリンクや添付ファイルが含まれる可能性があり、信頼されたツールがフィッシング、マルウェア、またはソーシャルエンジニアリングキャンペーンの攻撃経路と化してしまうのです。

Bitsightの調査結果

Bitsightの調査は、ドイツの祝日イベントを.icsファイルで配信する単一のドメインのシンクホール(トラフィックを吸い上げる仕組み)から始まりました。このドメインに毎日11,000以上の異なるIPアドレスからアクセスがあることを確認した後、アナリストは調査を拡大し、FIFAイベントや世界の宗教的なカレンダーに関連するような有名なものを含む、さらに347の期限切れドメインを特定しました。これらのドメインは合計で、毎日約400万台のユニークなデバイスから同期要求を受けています。ほとんどのユーザーや企業は、カレンダーアプリがバックグラウンドで期限切れまたは乗っ取られたサーバーをポーリングし続けていることに気づいておらず、これが静かで持続的なリスクとなっています。

高度なインフラと収益化の手口

現代の攻撃者は、ユーザーを購読させるために専用のインフラを展開しており、多くの場合、侵害された正規のウェブサイトやリダイレクトチェーンを利用します。例えば、「Captchaを解決するには『許可』をクリックしてください」といった偽のオーバーレイを表示させ、ユーザーを騙して購読させます。

彼らは、従来のフィッシングやマルウェアの配布だけでなく、VPNインストールの促進(デバイスをレジデンシャルプロキシノードに変える可能性もあります)や、PushgroundやRichAdsのようなプラットフォームを介したプッシュ通知の「広告スペース」販売といった革新的な方法で収益を得ています。これらのネットワークの洗練度は、その規模と持続性によって強調されており、いくつかのドメインは、高度なトラフィック配信システムやBalada Injectorのような既知のマルウェアキャンペーンに特徴的な挙動パターンを示しています。

同期要求の種類とユーザーの信頼

Bitsightのシンクホールでは、以下の2種類の同期要求が発見されました。

  • Base64エンコードされたURI
  • Webcalクエリパラメータ

これらはいずれもバックグラウンドでの同期活動を示唆しており、既存のデバイス購読が、ユーザーがその元を忘れた後も数ヶ月から数年にわたって脆弱なままであることを意味します。メールとは異なり、カレンダーイベントはユーザーから本質的な信頼を得ています。カレンダーベースの攻撃に関する監視や定期的なセキュリティ意識向上トレーニングはほとんど行われていません。一度侵害されたカレンダーイベントは、正規の会議招待やリマインダーを模倣し、おなじみのサービスや同僚のブランドやフォーマットを持つことさえあります。

脅威の範囲

脅威のスペクトルには以下が含まれます。

  • フィッシング:偽のイベントリンクを通じて認証情報を盗む。
  • マルウェア:悪意のあるファイルを添付したり、不要なアプリのインストールを誘発したりする。
  • ソーシャルエンジニアリング:偽の「システムアラート」や公式に見えるリマインダーで緊急性を煽る。

最近の攻撃では、オープンソーススイート(例:Zimbraのゼロデイ脆弱性)で.icsファイルを介してJavaScriptを展開したり、Google Geminiのようなデジタルアシスタントを標的としたAIプロンプトインジェクションを試みたりする高度な手法も悪用されています。

推奨される対策

セキュリティ研究者は、組織および個人の両方で警戒の必要性を強調しています。

  • 不明なカレンダー購読を監査し、削除する。
  • カレンダーイベントのリンクをメールリンクと同じくらい注意深く扱う。
  • 企業デバイスにカレンダー購読ポリシーを導入する。
  • サイバーセキュリティトレーニングプログラムにカレンダーの脅威を組み込む。
  • 可能な場合、ネットワーク境界で不明なカレンダー同期ドメインをブロックする。

AppleやGoogleのような主要プロバイダーはプラットフォームセキュリティを著しく改善していますが(特にGoogleはカレンダー同期にプロキシサーバーを使用することで直接的な悪用可能性を軽減しています)、多くのオープンソースおよびサードパーティのカレンダーソリューションは遅れをとっています。デジタルカレンダーの採用が拡大し続ける中、カレンダーセキュリティへの意識と投資は極めて重要です。放置されたドメインとサイレントな同期要求は、攻撃者にとって最も強力な侵入経路の一つとして浮上しており、警戒を怠らず、プロトコルを更新し、現代のサイバー衛生においてカレンダーセキュリティを最優先事項とすることの重要性が強調されています。

元記事: https://gbhackers.com/ical-domains/

投稿をさらに読み込む