近年、攻撃者はメール本文ではなく ICS(カレンダー招待)ファイル を悪用したフィッシング攻撃を活発に仕掛けています。ICS ファイルは単純なテキストベースの予定ファイルであるため、多くのセキュリティ製品ではリスクが低いと判断されます。さらに、Outlook や Google Calendar は招待された予定を自動登録する機能を持っているため、ユーザーがメールを開かなくても 「カレンダー通知」経由で攻撃メッセージがそのまま表示されてしまう という問題が発生します。
ICS ベースの攻撃の目的は明確です。ユーザーに ICS ファイル内部の隠された URL をクリックさせ、決済詐欺ページ、アカウント窃取サイト、リモート制御ツールのインストールなどに誘導することです。つまり、本質的には URL ベースの攻撃であるため、Criminal IP の ドメイン検索 を利用することで、ICS ファイルに含まれる URL を事前に検証し、脅威を未然に防ぐことができます。
ICS(カレンダー招待)ファイルが新たなフィッシング攻撃ベクターとなった理由
ICS ファイルはカレンダー予定情報を含む単純なテキスト形式ですが、内部には次のようなフィールドを挿入することができます。
- DESCRIPTION – 予定説明(攻撃者が最も悪用する部分)
- LOCATION – イベント場所に見せかけた悪性 URL
- URL – 正規の予定リンクに見えるフィッシング URL
- ATTACH – Base64 形式で悪性ファイルを挿入可能
攻撃者はこの構造を悪用し、ICS ファイル内にさまざまな脅威要素を埋め込みます。「支払い期限切れ」「セキュリティ確認」「サービス停止」などの緊急性を装った文言を用いて、ユーザーがクリックするよう誘導します。
ICS ファイルはメールに添付された瞬間にカレンダーイベントへ反映されるため、従来のメールフィルタリングを回避できる という特徴があります。
ICS フィッシング攻撃の流れ:カレンダー招待がメールセキュリティを回避する仕組み
- 攻撃者は、フィッシング URL が埋め込まれた ICS ファイルをメールに添付して送信する。
- Outlook や Google Calendar は、この ICS ファイルを自動処理し、予定として登録してしまう。
- メールがスパムフィルタでブロックされた場合でも、予定そのものが作成されるケースがある。
- ユーザーはメールではなく 「カレンダー通知」 を通して攻撃メッセージを目にすることになる。
- ICS 内のリンクをクリックすると、フィッシングサイトや悪性ファイルのダウンロードページへ誘導される。
ICS フィッシングは、セキュリティソリューションが十分に対象としていないファイル形式を悪用し、既存の防御体系を回避する攻撃である。
Criminal IP が ICS ベースのフィッシングを検知できる理由
ICS 攻撃は本質的に URL ベースの攻撃 であるため、 Criminal IP ドメイン検索とIT資産検索を用いて検知することが可能です。
1) ドメイン検索による悪性 URL 判別
Criminal IP ドメイン検索で確認できる指標は以下の通りです。
- ドメインの作成日(新規登録かどうか)
- 無料/期限切れ/自己署名 SSL の使用有無
- HTMLフォームの存在有無
- スクリプトの難読化・隠し要素の有無
- favicon ハッシュを利用したブランドなりすまし検知
- 過去の悪性履歴(C2、フィッシングキャンペーンなど)
- 不審な WHOIS/レジストラ情報
ICS ファイルはテキスト形式であるため、URL を抽出するだけで即座に悪性判定が可能です。
2) IT資産検索によるインフラ分析
ICS フィッシングに利用されるサーバーは、一般的に以下のような特徴を持つことが多い。
- 短期間で生成されたドメイン/一時的な VPS
- 米国・欧州圏の低価格ホスティング
- 危険ポート(8080 / 8443 / 8880 / 9000 など)が開放
- SSL 証明書の不一致 または 自己署名証明書
- フィッシングページ用フレームワークの痕跡
Criminal IP IT資産検索 は、対象 URL の背後にあるサーバーのポート、バナー情報、SSL 状態、リスクスコアなどを総合的に可視化し、ICS ベース攻撃のインフラを追跡することが可能 です。
Outlook で ICS ベースのフィッシングをブロックする方法(Malicious Link Detector の使い方)
ICS ファイルはメール添付として届くため、Criminal IP Outlook アドイン を利用すれば、メール段階でフィッシング URL を事前に遮断することができます。
1. Criminal IP アカウントを作成
Criminal IP の会員登録ページで、メールアドレス・パスワード、または Google アカウントを使って登録します。無料アカウントでもアドインの利用が可能です。
2. Outlookアドインのインストールとログイン
Outlook アドインをインストールした後、Outlook 上部メニューのアドインアイコンをクリックすると、右側にタスクペイン(Taskpane)が表示されます。この画面でアカウントにログインすれば、各種機能を利用できるようになります。
3. メール本文の URL 自動スキャン
ログイン後、メール本文が自動的にスキャンされ、その結果を確認できます。「結果サマリー」 では、スキャンされた URL と危険ドメインの件数を確認でき、「ドメイン結果リスト」 では、各ドメインの詳細情報を閲覧できます。また、「全URLリスト」 では、検知されたすべての URL の一覧を確認することができます。
組織が取るべき対応戦略
組織は、ICS ファイルをもはや単なる予定ファイルとして扱ってはいけません。以下のような対策が必要です。
- カレンダーアプリの 自動予定生成機能を制限し、外部送信者からの招待は手動で承認するよう設定する。
- Outlook·Google Workspaceで ICS ファイルに含まれる URL フィルタリングを強化する。
- Criminal IP Outlook アドインを利用し、すべてのメール内リンクに対するドメイン安全性チェックを自動化する。
- ICS ファイルを悪用した攻撃に使われたドメインを、攻撃者インフラの視点で継続的にモニタリング する。
これらの対策は、ICS ベースの攻撃だけでなく、従来のすべての URL 中心型フィッシング攻撃に対しても効果的です。
FAQ
Q1. ICS ファイルを開かなくても攻撃が発生することはありますか?
はい。Outlook/Google Calendar が予定を自動生成する設定の場合、メールを開かなくても 「カレンダー通知」だけで攻撃メッセージが表示される ことがあります。
Q2. ICS ファイル自体にマルウェアが含まれる場合もありますか?
ATTACH フィールドに Base64 形式でファイルを埋め込むことが可能で、これを悪性 APK/EXE ファイルとして悪用した事例が確認されています。
Q3. なぜ ICS ファイルはセキュリティソリューションで検知されにくいのですか?
ICS はテキストベースの予定ファイルであり、MIME タイプが text/calendar のため、多くのセキュリティ製品では 低リスクオブジェクトとして扱われやすい ことが理由です。
結論
ICS(カレンダー招待)ファイルを悪用したフィッシング攻撃は、メールを開かなくてもカレンダー通知を通じてユーザーに露出するため、従来のスパムフィルタリングだけでは防御が困難です。
しかし、攻撃の本質は URL ベースの脅威 であるため、ICS 内部の URL は Criminal IP ドメイン検索で検証し、メール段階のリンクは Outlook アドインで検知する方法が最も効果的です。
この 2 つを併用することで、ICS ベースのフィッシングを含む多様な URL 中心型攻撃を効率的に遮断できます。
なお、関連して、より巧妙になるフィッシングメール攻撃、Outlookで安全に検知する方法 をご参照ください。
データソース : Criminal IP (https://www.criminalip.io/ja), Cyber Security News (https://cybersecuritynews.com/calendar-files-weaponized-as-attack-vector/#google_vignette)
関連記事 : https://www.criminalip.io/ja/knowledge-hub/notice/4542
