2025年9月8日、Malwarebytes Labsの研究者Pieter Arntzが、iCloudカレンダー機能を悪用したPayPalフィッシング詐欺について報告した。詐欺師は「Pedro McCarthy」という名前でiCloudカレンダー招待を送信し、PayPalアカウントから599ドルが請求されたという偽の通知を行う。メールは実際にAppleのサーバーからnoreply@email.apple.comアドレスで送信されるため、セキュリティシステムを通過してしまう。詐欺師はiCloudカレンダーのメモ欄にフィッシングテキストを記載し、Microsoft 365アカウントとMicrosoft Sender Rewriting Scheme(SRS)技術を組み合わせて正当性を装う。偽の請求書には請求書ID「AFER13VD」、日付「2025年8月28日」、連絡先電話番号「+1 +1 (786) 902 8579」が記載されている。BleepingComputerが最初にこの詐欺手法を発見し、コールバック型フィッシング攻撃として分類している。被害者が電話をかけると、リモートデスクトップクライアントや情報窃取マルウェアのダウンロードを促される。
From: 
iCloud Calendar infrastructure abused in PayPal phishing campaign
【編集部解説】
今回のiCloudカレンダーを悪用したフィッシング攻撃は、サイバー犯罪の高度化を象徴する事案として注目に値します。特に、AppleとMicrosoftという2つの巨大テック企業のインフラを巧妙に組み合わせた手法は、従来のセキュリティ対策の盲点を突いた画期的な攻撃手法といえるでしょう。
この攻撃が特に危険なのは、技術的な正当性を完全に装っている点にあります。iCloudカレンダーの招待機能を使うことで、メールは実際にAppleの公式サーバー(noreply@email.apple.com)から送信され、SPF、DMARC、DKIMといった標準的なメール認証をすべてパスしてしまいます。これにより、企業のスパムフィルターや個人のメールセキュリティシステムを素通りしてしまうのです。
Microsoft Sender Rewriting Scheme(SRS)の悪用も技術的に洗練されています。SRSは本来、メール転送時にSPF認証を維持するための正当な技術ですが、攻撃者はこれを利用して送信者アドレスを書き換え、認証チェックを回避しています。この手法により、フィッシングメールでありながら技術的には「正当」な状態を作り出しているのです。
コールバック型フィッシングという攻撃手法自体も2025年現在、急速に拡大している脅威です。従来のリンククリック型やファイル添付型と異なり、電話という人間の心理的な弱点を突くアプローチを採用しています。2023年のデータでは、テキストメッセージ詐欺だけで3億7,200万ドルの被害が報告されており、電話を使った詐欺の威力の高さが裏付けられています。
このような攻撃が広がることで、企業のセキュリティ戦略にも根本的な見直しが求められるでしょう。従来の「怪しいメールアドレスをブロックする」という単純なアプローチでは、正規のインフラを悪用された攻撃を防ぐことができません。むしろ、従業員教育やプロセスの見直し、多層防御の強化といった包括的な対策が不可欠になります。
興味深いのは、Appleがこの問題について公式なコメントを出していない点です。技術的には正当な機能の使用であるため、システム側での対策は困難であり、むしろユーザーのリテラシー向上に依存せざるを得ない状況が浮き彫りになっています。
長期的な視点では、このような攻撃の高度化により、メールセキュリティの概念そのものが変化していく可能性があります。送信者の技術的正当性だけでなく、コンテンツの文脈や行動パターンを総合的に分析するAI駆動のセキュリティシステムの重要性が高まるでしょう。また、ユーザー側でも「正規のメールアドレスだから安全」という固定観念を捨て、より慎重な判断が求められる時代に入ったといえます。
【用語解説】
フィッシング
ユーザーを騙して個人情報や金融情報を盗み取るサイバー攻撃手法である。正当な企業や組織を装ったメールやウェブサイトを通じて行われる。
コールバック型フィッシング
被害者に電話をかけさせることで情報を窃取する手法である。メールに電話番号を記載し、電話をかけた相手にソフトウェアのダウンロードやアカウント情報の提供を促す。
Sender Rewriting Scheme(SRS)
メール転送時にSPF認証を維持するための技術である。元の送信者アドレスを転送サーバーのドメインに書き換えることで、スパム対策を回避できる状態を作り出す。
SPF/DMARC/DKIM
メール認証技術の総称である。送信者の正当性を技術的に証明するためのプロトコルで、現在のメールセキュリティの基盤となっている。
【参考リンク】
Apple(日本)(外部)
iCloudカレンダーを提供するAppleの公式サイト。iOSデバイスやMacで使用できるクラウドサービスの詳細情報を提供している。
Microsoft 365(日本)(外部)
Microsoft 365の公式サイト。Outlook、OneDrive、Microsoft Defenderなどのサービスを提供している。
Malwarebytes(外部)
今回の記事を発表したサイバーセキュリティ企業の公式サイト。マルウェア対策ソフトウェアとScam Guardなどのセキュリティ製品を提供。
PayPal(外部)
今回のフィッシング攻撃で標的となったオンライン決済サービスの公式サイト。フィッシング詐欺の報告先としてphishing@paypal.comを提供。
【参考動画】
Malwarebytes公式チャンネルによるScam Guardの紹介動画。詐欺検出機能の使用方法を簡潔に説明している。
【参考記事】
iCloud Calendar abused to send phishing emails from Apple’s servers(外部)
BleepingComputerによる詳細な技術解説記事。今回の攻撃を最初に発見・報告した記事として、攻撃手法の技術的仕組みを詳しく説明。
New Apple Warning—This iCloud Calendar Invite Is Actually An Attack(外部)
Forbes誌による記事。Apple製品ユーザー向けに攻撃の危険性と対策を分かりやすく解説し、企業ユーザーへの影響についても言及。
Callback Phishing Explained: Protecting Your Data in 2025(外部)
Keep Net Labsによるコールバック型フィッシングの包括的解説。2023年に3億7,200万ドルの被害を出したテキストメッセージ詐欺の統計データを含む。
New trends in phishing and scams: how AI and social engineering are changing the cybercrime landscape(外部)
Kaspersky Secure Listによる2025年のフィッシング詐欺トレンド分析記事。AIを活用した詐欺手法の進化と社会工学的攻撃の高度化について詳細に解説。
How hackers are using this Microsoft 365 feature to target PayPal accounts(外部)
Money Control誌による記事。Microsoft 365の機能を悪用したフィッシング攻撃の手法について、PayPalユーザーを狙った事例を中心に解説。
【編集部後記】
正直に言えば、今回の攻撃手法を読んでいて「こんなに巧妙だったら、私も騙されるかもしれない」と感じました。AppleのメールアドレスからPayPalの請求書が届いたら、普通は疑わないですよね。
皆さんはこのような「技術的には正当だが悪意のある」攻撃を受けた経験はありますか?
また、Macユーザーの方が多いと思いますが、iCloudカレンダーの招待通知をどのように管理されているでしょうか。個人的には、テクノロジーが進歩するほど新しい脅威が生まれる現実を目の当たりにして、「便利さと安全性のバランス」について改めて考えさせられています。読者の皆さんも、ぜひご自身のセキュリティ設定を見直してみてください。
