Googleカレンダーを悪用するマルウェアが登場 カレンダーが「悪のサーバ」に変化

Googleカレンダーを悪用するサイバー攻撃が見つかった。カレンダーの予定に悪意のあるコマンドなどを埋め込んでサイバー攻撃の基地に変えてしまうという攻撃だ。

[Eric Geller，Cybersecurity Dive]

　「Googleカレンダー」を業務に利用している企業は少なくないだろう。Googleはセキュリティに定評があり、安全なサービスを提供しているという安心感があるかもしれない。

　だが、そうとは言い切れない。Googleカレンダーを攻撃の基地として利用するサイバー攻撃が見つかったからだ。

　Googleの脅威インテリジェンスグループは2025年5月28日、中国政府の支援を受ける攻撃グループ「APT41」が、Googleカレンダーを悪用してマルウェアを展開して（注1）、データを盗み取ったり、侵害したデバイスで攻撃作戦を実行したりしていることを発表した。

Googleカレンダーを悪用するマルウェアが登場

　このマルウェアは盗み出したデータをカレンダーイベント（予定）に埋め込む。攻撃者は別のカレンダーイベントを使って侵害したPCに指示を送信していた。

　Googleが発表した新たな調査結果から分かることは、先端的なサイバー脅威グループが巧妙な手法を開発し続けており、高度な安全性が確保されたクラウドプラットフォームでさえ、悪質な活動を完全に防ぐことはできないことをあらためて示した。

　Googleは新たなマルウェアの亜種を発見し、「ToughProgress」と名付けた。このマルウェアはGoogleカレンダーをC＆C（Command＆Control）サーバとして利用しており、APT41のインフラと侵害されたデバイスとの間に、信頼性が高く目立ちにくい通信経路を確立していた。

　Googleの研究者は次のように記した。「ToughProgressが実行されると、あらかじめ設定された2023年5月30日に開始時間も終了時間も設定されていない『0分』のカレンダーイベントが作成されて、侵害を受けた端末から集めたデータが暗号化された形でそのイベントの説明欄に書き込まれる」

　「攻撃者は2023年7月30日と同年7月31日というあらかじめマルウェアに組み込まれた日付のカレンダーイベントに暗号化されたコマンドを配置する。その後、ToughProgressがこれらのイベントを探してカレンダーを定期的にチェックし始める。イベントが見つかると、説明欄に記載された情報が復号されて、そこに格納されていたコマンドが感染した端末で実行される。実行結果は再び暗号化されて、別のカレンダーイベントに書き戻される」

　ToughProgressは、クラウドサービスをC＆Cサーバのインフラとして悪用した初めてのマルウェアではない（注2）。Googleの研究者は「C＆Cを目的とするクラウドサービスの悪用は、多くの攻撃者が正規の通信に紛れ込むために利用している手法だ」と述べ、MicrosoftやDropbox（注3、注4）、Instagramを悪用した類似の事例に言及した（注5）。

ToughProgressからPCを守るにはどうすればよいのか

　現在判明しているToughProgressの感染の流れは、目標を絞ったスピアフィッシングから始まる。攻撃グループは政府機関のWebサイトを侵害して、攻撃に必要なZIPファイルを埋め込んでいた。ユーザーが安心してアクセスするWebサイトを使った一種の水飲み場攻撃だと言えるだろう。ZIPファイルには複数の画像に偽装したプログラムが含まれており、これが自動実行されると実行されると、Googleカレンダー経由で攻撃に必要なコマンドを受信したり、データを送信したりしはじめる。ToughProgressが動いている際の通信はGoogleのサービスの正規のものに見えるため検知をかいくぐりやすい。ファイルを残さず、暗号化を利用しているため、発覚しにくい攻撃だ。

　このマルウェアからPCを守るには一般的な対策に加えて「Google Workplace」の設定を見直す必要がある。

　まずエンドポイントでの定期スキャンと更新だ。まず、スピアフィッシングの段階でPCを守るためにメールセキュリティを含む境界セキュリティが必要だ。添付、企業で導入しているアンチウイルスソフトウェアがToughProgressに対応していることを確認しよう。最後にEDRの導入とログの解析が必要だ。

　従業員に対して詐欺メールや共有設定に関する研修を施す必要もあるだろう。Googleカレンダーのようなサービスがサイバー攻撃の「基地」になるという知識は一般的ではないからだ。

Google Workplaceの設定も必要

　Google Workplaceの設定では外部共有を制限してイベントの詳細を非公開に制限する。攻撃者がイベントの説明欄にコマンドやデータを埋め込むことを防ぐためだ。企業内部のユーザー間でも全情報を共有しないことで横展開を防ぐことができる。そのためには組織別の共有ルールの策定と運用が役立つ。

　ToughProgressのようなマルウェアは「calendar.googleapis.com」へのポーリングやイベント変更、API呼び出しを繰り返す。そこで、Google Workplaceの監査ログでAPIアクセスの頻度や非ブラウザクライアントからの大量アクセスなどをトリガー設定して監視する。UEBA（User and Entity Behavior Analytics）の導入も効果的だ。

　最後に注意しなければならないのは、Google以外が提供するクラウドサービスでも同様の問題が起こる可能性があることだ。従来のクラウドセキュリティだけでは攻撃を防御できない場合がある。（キーマンズネット編集部）

　知名度の高い正規のクラウドサービスの悪用が続いていることは、誰にとっても良い知らせではない。企業のセキュリティチームにとっても大きな課題だ。セキュリティチームは、悪質なWebサイトへのアクセスといった不審な通信だけでなく、正規の通信を通じて進行する悪質な活動まで監視しなければならなくなる。

　中国政府の支援を受けるAPT41は（注6）、北京における主要なハッキングチームの一つだ。Googleの研究者によると、このグループは2024年8月から無料のサービスを利用してマルウェアのコードをホストしており、それらのリンクを地理的にも業種的にも多様な数百の標的に送信していたという。研究者によればAPT41は特に「Cloudflare Worker」のWebドメインを好んで使っているという。

出典：Google: China-backed hackers hiding malware in calendar events（Cybersecurity Dive）
注1：Mark Your Calendar: APT41 Innovative Tactics（Google Cloud Blog）
注2：Microsoft: Creative Abuse of Cloud Files Bolsters BEC Attacks（DARKREADING, TechTarget）
注3：Backchannel Diplomacy: APT29’s Rapidly Evolving Diplomatic Phishing Operations（Google Cloud Blog）
注4：China-based Cyber Threat Group Uses Dropbox for Malware Communications and Targets Hong Kong Media Outlets（Google Cloud Blog）
注5：Cyber espionage group, Turla, new campaign uses Instagram to spy on its targets（ESET）
注6：China's APT41 Targets Global Logistics, Utilities Companies（DARKREADING, TechTarget）