こんにちは。ワラゴンです。
みなさん、Gmailは使っていますか?
便利ですよね。
そんな便利なGmailですが、先日、GmailとGoogleカレンダーの連係機能について、重大な脆弱性があるといった記事を目にしたので、少し取り上げてみたいと思います。
元ネタは以下です。
Forbes:New Security Warning Issued For Google's 1.5 Billion Gmail And Calendar Users
Forbes(日本語):グーグルカレンダーに「勝手に予定を追加する」攻撃が急増
Googleカレンダーの会議案内機能を使った攻撃
同記事によると、GoogleカレンダーとGmailの連係機能を悪用したスパムが横行しており、15憶人のユーザが脅威に晒されているんだそうです。
具体的な攻撃方法は以下の通り。
1.攻撃者はGoogleカレンダーの会議案内機能を使って、悪意のあるリンクを含んだ会議案内を不特定多数の人に送る。
2.招待状を受け取った人のカレンダーに自動的に登録される(参加する、しないに関係なく登録される)
3.会議の時間になったら通知がポップアップする
4.被害者は会議の案内文にある、悪意のあるリンクをクリックする
と、なんだかよく見るとただのスパムメールのような気もしますが、、、
記事によると、最初はGoogleもただのスパムとしてあしらってきたようですが、最近になって「真面目に改善に取り組む」姿勢に変化した、とあります。
今のところの対処法
Googleが本当にこの手のクレームを相手にするのかな?という疑問はありますが、同記事では今のところの対処法を紹介してくれています。
自分が返信した招待だけを表示する
一つ目は、Googleカレンダーの設定で、自分が返信した招待だけを表示する設定にすることです。
設定->予定の設定のところにある、「招待状を自動的に追加」のプルダウンを「いいえ、返信した招待状のみ表示します」に変更します。
Gmailで受け取った会議案内がGoogleカレンダーに自動的に追加されるのを防ぐ
もう一つ、記事ではGmailで受け取った会議案内がGoogleカレンダーに自動的に追加されるのを防ぐ設定もしましょう、とのことです。
同じく設定->Gmailからの予定の所にある「Gmail からの予定を自動的にカレンダーに追加する」チェックを外します。
この機能、意外と便利なので本当に外して良いかどうかは判断が分かれそうな気がします。
まとめ
利用ユーザーが多いGmailのようなサービスに関するセキュリティ関連の記事なので、もしかしたら需要があるかなと思って書いてみました。
元ネタはForbesなので、まずまず信頼して良いとは思いますが、私自身の率直な感想としては「やっぱりただのスパムだよね~」と思ってしまいます。
というか、この記事の筆者も承知の上でアクセスを狙って書いているのかもしれませんが。
というわけで、もしGoogleカレンダーに見知らぬ予定が入っていたら、会議案内の中に書かれているリンクには十分注意しましょう。
そして、不審な会議案内があるようであれば、上記の設定をして不審な予定を送りつけられないように対策しましょう。
