1. MENU
  2. >詐欺対策安全生活部
  3. >2026年の記事

カレンダーの招待状を悪用したフィッシング|承認した覚えがない予定が入っていませんか

公開日:

※当サイトはアフィリエイトプログラムを利用しています。

トラブルへの誘い:カレンダーフィッシング攻撃の台頭」といった報告が出ていますので共有したいと思います。

カレンダーに見知らぬ予定が追加されていたことはありませんか?
偽の招待状でユーザーを騙す「カレンダーインジェクション」とも呼ばれるフィッシング攻撃。その手口と未然に防ぐ方法を解説。

詐欺の心配一切なし!ワクワクメールへGO

攻撃の入り口は偽のカレンダー招待

この手口はカレンダーインジェクションとも呼ばれます。

Google カレンダーは初期設定のままだと、見知らぬ相手からの招待でも自動的にカレンダーへ追加される機能があります。
攻撃者はこの仕組みを悪用して、メールの迷惑メールフィルターをすり抜け、あなたの予定表に直接罠を仕込むのです。

フィッシングメールは「怪しいメールを見抜く」という対策が通用しますが、カレンダーインジェクションは気づいて対処した後にも罠が残るという質の悪さです。

予定表って何気なく確認するものなので、警戒心が薄れた状態でクリックしやすいでしょ?攻撃者はそこまで計算しているんです。

カレンダーインジェクションの手口

カレンダーインジェクションの手口インフォグラフィック画像

1️⃣偽のカレンダー招待が届く
送信者のヘッダーを偽装し、知人や公式サービスから届いたように見せる。
SPF・DKIM・DMARCなどのメール認証をすり抜けるケースも確認されている。

2️⃣定が自動でカレンダーに追加される
Google カレンダーの初期設定により、承認しなくても予定表に表示される。
本物の会議と並んで表示されるため見分けがつきにくい。

3️⃣イベントの説明文にリンクや電話番号が埋め込まれている
「キャンセルはこちら」「返金手続きはこちら」といった文言でクリックを誘導
偽の仮想通貨サポートページや偽ログイン画面に誘導される。

4️⃣偽の社内文書画像とQRコードで「署名」を求められる
招待状の中に本物らしい社内文書の画像が貼られていて、「署名が必要です」「QRコードをスキャンしてください」と誘導。スマホでスキャンすると偽サイトに飛ばされる。
QRコードは画像の中に埋め込まれているため、PCのセキュリティソフトでは検出できない。

5️⃣個人情報・クレジットカード情報が盗まれる
偽ページで入力させた認証情報や支払い情報が攻撃者に送信される。

ログイン情報を盗み二次攻撃へ

主な目的はログイン情報の窃取にあります。

  • ・MicrosoftアカウントやGoogleアカウントのIDとパスワード
  • ・企業の社内システムへのログイン情報
  • ・クレジットカード情報や個人情報

Cofenseの報告で特に指摘されていたのは、盗んだ認証情報を使って社内の他の従業員にさらに巧妙なフィッシングを仕掛けるという二次攻撃です。
信頼できる同僚のアカウントから届くメールは誰も疑わないので、被害が組織全体に広がりやすい。

単純にパスワードを盗むだけじゃなくて、盗んだアカウントを踏み台にして組織内に侵入を広げていくので、被害が雪だるま式に拡大するんです。
しかも入口がカレンダーの招待状という、普段から無警戒に触るものだから余計に始末が悪い。

目次へ

カレンダーインジェクションの対処法

どんなに手の込んだマルウェアでも、最初の一歩は必ず「人間の判断を騙すこと」です。
「有名ソフトの名前を使って信頼させ、ダウンロードさせる」という流れは何年も変わっていません。

入口がGoogle広告だったりフィッシングメールだったり、カレンダー招待だったりと、表面だけ変化し続けています。
その罠さえ見抜ければ、大半の攻撃は防げるのです。

怪しいと感じたら、クリックする前に立ち止まる。その一秒が、あなたを守ります。

クリックする前にチェック

こういったことに注意していれば、被害を未然に防げます。

  • 心当たりのない招待者からのイベント
  • タイトルに「至急」「期限」など、開く前から焦りを煽る言葉で始まっている
  • 「請求書」「支払い期限」「暗号資産」など、焦りを煽る本文
  • 説明文にリンク・電話番号・「今すぐ確認」などの文言がある
  • 送信者名は本物そっくりでも、アドレスを1文字単位で確認する
  • 送信者のメールアドレスがランダムな文字列になっている
  • 知人の名前だが、普段使わないアドレスから届いている
  • 招待状の中にQRコードや文書画像が含まれている

対処法は設定を変えるだけ

Googleカレンダーの場合
カレンダーの初期設定を変えるだけで、大半の被害を防げますよ。

Googleカレンダーの設定を変更
設定 → 予定の設定 →「招待状をカレンダーに追加」を「返信した招待状のみ」に変更する。

「既知の送信者」設定をオンに
連絡先にない相手からの招待には警告が表示されるようになる。

心当たりのない招待はリンクを開かず削除
「拒否」ボタンを押すと送信者に通知が届く場合があるため、無視して削除が安全。

カレンダー上の電話番号には絶対に電話しない
「請求をキャンセルするには電話を」という文言は詐欺の典型的な手口。

Outlook(Microsoft 365)の場合
Outlookの場合は、メール側で防ぐ仕組みになります。

迷惑メールフィルター
怪しい送信元からのメール自体を迷惑メールフォルダに振り分けるので、カレンダー招待も届きにくくなります。
設定 → 迷惑メール → 迷惑メールの保護レベルを「高」にする。

安全な差出人リスト
信頼できる送信者を登録しておくと、その人からのメールやカレンダー招待は常に受信トレイに届きます。
リスト外の見知らぬ相手からの招待は迷惑メール扱いになりやすくなります。

✅招待の承認前に送信者を必ず確認
上記はカレンダーへの自動追加を直接止めるものではありません。
Outlookの場合は怪しい招待は承認しない・リンクを開かないという対処が現実的です。

関連記事

偽サイトに要注意!フィッシング詐欺対策に必須の【7つのポイント】

【現在拡散中】Teams・Zoom・Adobe Readerに偽装した署名済み【マルウェア】

目次へ