iPhone に不審なカレンダー登録されるケースが増加中
めっちゃ沢山登録されるスケジュール
当社のお客様で、「不審なカレンダー登録された」という問い合わせが増加しています。IPA も今年の3月頃から急激に増加している状況が報告されています。
実際にこれは何が行われていて、利用者の皆さんにどのようなリスクがあり、色々制限された企業用のデバイスで、何故これが起きてしまい、どのように対処すべきかを少しまとめてみましたので参考にしてください。
実際にこれは何が行われていて、利用者の皆さんにどのようなリスクがあり、色々制限された企業用のデバイスで、何故これが起きてしまい、どのように対処すべきかを少しまとめてみましたので参考にしてください。
不審なカレンダー登録の発端はSMS やメール内のリンクを踏むことから始まる
こういうポップアップ出たらOK押しちゃいけません
本当これなんです。例えば、佐川急便や日本郵政や Amazon とか名乗って、「お荷物が配達できませんでした」みたいな SMS ってよく来ますよね。ここに書いてあるリンクを踏むと、添付のようなポップアップが表示されると思います。ここでOKを押すと、照会カレンダーがデバイスに追加されてしまいます。照会カレンダーを追加してしまうと、対象のサーバからユーザのデバイスに好きなだけスケジュールを登録することが出来てしまうのです。
なので、もし、ぼーっとしていてウッカリと変なリンクを踏んでしまったとしても、このようなポップアップが表示された場合は、内容をよく読み、「カレンダーの照会を追加」という文言があったら、慌てずキャンセルすれば、不審なカレンダー登録被害は防げます。皆さんお忙しいので、デバイスで何か作業中に出ると、早く作業を継続したいので内容をよく読まずにOKしてしまうと思うのですが、ここは本当に気をつけていただきたいポイントです。
なので、もし、ぼーっとしていてウッカリと変なリンクを踏んでしまったとしても、このようなポップアップが表示された場合は、内容をよく読み、「カレンダーの照会を追加」という文言があったら、慌てずキャンセルすれば、不審なカレンダー登録被害は防げます。皆さんお忙しいので、デバイスで何か作業中に出ると、早く作業を継続したいので内容をよく読まずにOKしてしまうと思うのですが、ここは本当に気をつけていただきたいポイントです。
そもそもカレンダー照会って何なのよ?というお話し
例:セ・リーグ試合日程 そもそもカレンダー照会って何なのか?、どんなリスクがあるのか?というお話しを少しだけしたいと思います。
カレンダー照会というのは、カレンダーに公式では載っていない日程を載せたい場合に使う追加情報のための仕組みです。有名なところでは、六曜カレンダー、野球やフットボールやの野球の試合の日程など、変わったところではアニメの主人公の誕生日が載ってるようなものまで、様々なカレンダー照会データが、色々なサイトで公開されています。
このスケジュールの中には、リンクの埋め込みなどが可能となるので、ここにマルウェアに誘導するものや、フィッシングなどユーザに被害をもたらす悪意を持ったリンクが埋め込まれることになります。また、このセ・リーグ試合日程を見ていただいて分かるように、突然 377ものイベントがカレンダーに追加されることになるため、通知も結構頻繁に上がってくることになります。
悪意のある不審なカレンダーになると、1日で100件ものイベントが追加されるので、それこそ数分毎に頻繁に通知が上がってくるようになり、大変騒がしい感じになるだけではなく、登録されるスケジュールのタイトル全てが「貴方のデバイスは危険な状態」のようになります。
カレンダー照会というのは、カレンダーに公式では載っていない日程を載せたい場合に使う追加情報のための仕組みです。有名なところでは、六曜カレンダー、野球やフットボールやの野球の試合の日程など、変わったところではアニメの主人公の誕生日が載ってるようなものまで、様々なカレンダー照会データが、色々なサイトで公開されています。
このスケジュールの中には、リンクの埋め込みなどが可能となるので、ここにマルウェアに誘導するものや、フィッシングなどユーザに被害をもたらす悪意を持ったリンクが埋め込まれることになります。また、このセ・リーグ試合日程を見ていただいて分かるように、突然 377ものイベントがカレンダーに追加されることになるため、通知も結構頻繁に上がってくることになります。
悪意のある不審なカレンダーになると、1日で100件ものイベントが追加されるので、それこそ数分毎に頻繁に通知が上がってくるようになり、大変騒がしい感じになるだけではなく、登録されるスケジュールのタイトル全てが「貴方のデバイスは危険な状態」のようになります。
不審なカレンダーの不審なリンクをクリックすると何が起きるか?
スケジュール内リンクを踏むと表示されるメッセージ
ここは正直言って、悪意のあるリンクを踏めば、何が起きるかは分かりません。多くの場合は、詐欺っぽいアプリをダウンロードさせてサブスクリプション契約をさせるもののようですが、フィッシングサイトに誘導してID・パスワード・クレジットカード情報など盗まれたり、デバイスそのものを乗っ取られて情報を片っ端から盗まれるというリスクもあることは申し上げておきます。
不正なリンクを踏んだ後には、特定OSに依存した脆弱性や、デバイス機能に依存した脆弱性など常に日々アップデートされる脆弱性を複数利用したエクスプロイトとなる筈なので、踏んだが最後と思った方が間違いないでしょう。そのためにも冒頭書いたように、怪しいリンクを踏まない、怪しいポップアップが出たらOK押さないを心がけてください。
このカレンダーに含まれるリンクをタップすると、画像のような画面が表示されます。笑ってしまうのですが「あなたがアクセスしたアダルトサイトによってiPhoneの 55.6% が破損されました」とか書かれてますw そして色々書いてあるんですが、このリンクを押してすぐにiPhoneを修正するプログラムをダウンロードしてください、となって、その後 App Store の特定アプリに誘導されます。
App Store に登録されているということは、それなりに Apple の審査を通ったまともな機能のアプリなのかもしれませんが、起動早々に読解不能な承認と共に、サブスクリプションに登録させようと必死です。「同意して続行」の下に「続行することで %@ と %@ に同意します」と書いてあって、何に同意するのかも不明なままサブスクリプション登録されてしまのでしょうか。Apple ちゃんと審査してんのかよ、と軽い怒りも感じますw アプリのレビューも日本語になっていない高レビューが登録されていて笑えます。ちなみにこのアプリですが、サブスクリプションが 1週間 880円、1ヶ月 3,400円、半年が 5,200円というボッタクリとしか言いようが無い価格設定。
Epic Games と Apple の裁判で「アップストアの規約によって消費者の安全なアプリ利用が可能になっていることで巨大市場が形成され開発者が恩恵を受けている」とApple側の発言がありましたが、安全なアプリ利用が脅かされているからこそ、この不審なカレンダー事案が増加してるんだろうと思えますね。
不正なリンクを踏んだ後には、特定OSに依存した脆弱性や、デバイス機能に依存した脆弱性など常に日々アップデートされる脆弱性を複数利用したエクスプロイトとなる筈なので、踏んだが最後と思った方が間違いないでしょう。そのためにも冒頭書いたように、怪しいリンクを踏まない、怪しいポップアップが出たらOK押さないを心がけてください。
このカレンダーに含まれるリンクをタップすると、画像のような画面が表示されます。笑ってしまうのですが「あなたがアクセスしたアダルトサイトによってiPhoneの 55.6% が破損されました」とか書かれてますw そして色々書いてあるんですが、このリンクを押してすぐにiPhoneを修正するプログラムをダウンロードしてください、となって、その後 App Store の特定アプリに誘導されます。
App Store に登録されているということは、それなりに Apple の審査を通ったまともな機能のアプリなのかもしれませんが、起動早々に読解不能な承認と共に、サブスクリプションに登録させようと必死です。「同意して続行」の下に「続行することで %@ と %@ に同意します」と書いてあって、何に同意するのかも不明なままサブスクリプション登録されてしまのでしょうか。Apple ちゃんと審査してんのかよ、と軽い怒りも感じますw アプリのレビューも日本語になっていない高レビューが登録されていて笑えます。ちなみにこのアプリですが、サブスクリプションが 1週間 880円、1ヶ月 3,400円、半年が 5,200円というボッタクリとしか言いようが無い価格設定。
Epic Games と Apple の裁判で「アップストアの規約によって消費者の安全なアプリ利用が可能になっていることで巨大市場が形成され開発者が恩恵を受けている」とApple側の発言がありましたが、安全なアプリ利用が脅かされているからこそ、この不審なカレンダー事案が増加してるんだろうと思えますね。
審査されてんのか不明なくらい怪しいVPNアプリ
企業のMDM管理下におかれているデバイスでのリスクと対応策は?
企業で配布されているiPhoneはMDMで管理されているケースが多く、ユーザが自由にアカウントの追加・削除を行うことができないのが一般的です。また App Store も消されているケースが多いので、今回のようなマルウェアアプリダウンロード被害に関してはどのようなリスクがあり、どのような対応が可能か考えてみます。
Value |
アカウント追加・変更禁止. |
App Store 非表示 |
リスク |
・一度カレンダー照会の追加を許可してしまうと、ユーザ自身で照会カレンダーを削除することができません。 ・数分おきにカレンダー通知で、デバイスが危険と言われ続けることになります。 |
App Store が非表示であり、Apple ID も利用していなければ、今回紹介したようなマルウェアアプリのダウンロードそのもののリスクはありません。 但し、外部構成プロファイルのインストールに誘導されたり、デバイスを乗っ取られるなどの様々なリスクは内在します。 |
対応策 |
・カレンダーを利用していて、照会カレンダーが削除できない方は管理者に伝えて、アカウント変更の許可を一時的にしてもらってから、設定>カレンダー>アカウントと辿って、対象となる照会カレンダーを削除してください。アカウント変更できる方は、上記設定からアカウントの削除をしてください。 ・App Store もないし、登録されているスケジュールも気にならないという豪胆な方は、設定>通知>カレンダーをオフにすればスケジュールは沢山登録されますが、通知されることはありません。但し、常にスケジュールが沢山登録され、デバイスはそれを通知しようとするためパケットやバッテリーの減りは多くなるかもしれません。またスケジュール内に含まれるリンクの影響度は計り知れませんので、残しておくことは本当にお勧めしません。 |
もし Apple ID でサインインしてあり、App Store から不正なアプリをダウンロードし、同意までしてしまった場合は、App Store のアカウント情報の中にある、サブスクリプションから契約解除すれば取りあえずの被害は最小限に抑えることができます。サブスクリプションを解除したら、アプリは削除してください。 |
管理者 |
・MDM の機能制限ペイロードのAppの非表示を使って、カレンダーそのものを非表示にし、通知ペイロードでカレンダー通知をオフにしてしまうという手もあります。 ・この場合は、スケジュールに含まれるリンクを踏むことはできませんのでリスクは軽減できますが、ネットワーク帯域やバッテリー消費の問題を引き起こす可能性があるのでお勧めはいたしません。 |
・MDM の機能制限ペイロードのAppの非表示を使って、対象となる不正なアプリを非表示にしてしまうことが出来ます。 ・但し、同意してしまってサブスクリプション契約が開始されている場合は、それが解除されることはありませんので、Apple ID 管理者がサブスクリプションの契約解除をすることをお忘れ無く。 |
不審なカレンダー登録に関するまとめ
いかがでしたでしょうか?不審なカレンダーを追加してしまうと色々面倒ですし、色々なリスクに晒されることをご理解いただけたと思います。削除については Apple 公式サポートページにも記事がございますので参考になさってください。
それぞれの立場の方が、気をつけるべき事は以下の通りです。
ユーザ側:不審なリンクはタップしない、不明なポップアップが出たらキャンセルする。
管理者側:改めてユーザへの周知を徹底する。機能制限の構成を見直す。例えば外部構成プロファイルの追加は禁止しておくなど悪意のあるリンクでできることを減らす対策を考えておく事も重要です。
Apple 公式:iPhone でカレンダーやイベントのスパムを削除する
https://support.apple.com/ja-jp/HT211076
それぞれの立場の方が、気をつけるべき事は以下の通りです。
ユーザ側:不審なリンクはタップしない、不明なポップアップが出たらキャンセルする。
管理者側:改めてユーザへの周知を徹底する。機能制限の構成を見直す。例えば外部構成プロファイルの追加は禁止しておくなど悪意のあるリンクでできることを減らす対策を考えておく事も重要です。
Apple 公式:iPhone でカレンダーやイベントのスパムを削除する
https://support.apple.com/ja-jp/HT211076
RSSフィード
