Appleはついに、iCloudカレンダースパムの脅威の高まりに目を向け始めました。これは、Appleのクラウドカレンダーの招待状の設計上の欠陥を悪用することで、スパマーが通常の防御策を回避できるという、陰険な問題です。カレンダースパムは目新しいものではありませんが、ここ数週間で急増し、ユーザーに悪影響を及ぼしています。そのため、Appleは iMoreのRene Ritchie氏を通じて声明を発表しました。

一部のユーザーの皆様にスパムカレンダー招待が届いているとのこと、誠に申し訳ございません。現在、疑わしい送信者やスパムメールを特定し、ブロックすることでこの問題の解決に取り組んでおります。

問題は、主にアジアの小売業者が偽造品を売り込むスパムがユーザーの iDevices や Mac に勝手に表示されることだけではありません。iCloud アカウントの信頼性を確認することで、受信者がさらなる攻撃にさらされるリスクもあります。

iCloudカレンダーのスパムとあなた

仕組みはこうです。Appleのクラウドベースのカレンダープラットフォームでは、ユーザーは誰にでもカレンダーの招待状を送信できます。スパマーはこの機能を悪用し、カレンダーの招待状という形で、考えられるあらゆるiCloudアカウントのメールアドレスに迷惑メールを送信します。本物のユーザーが迷惑招待状を受信し、それに応じて行動を起こすと（つまり、「辞退」、「承認」、あるいは「未定」をクリックする）、スパマーは受信者のアカウントが本物であることを確認したという通知を受け取ります。

最終的に、スパマーはコンピュータで生成されたメールリストを、認証済みアカウントの強力なデータベースへと絞り込み、それを基に集中的なスパムやフィッシング攻撃を開始できるようになります。これはスパマーがメールデータベースを洗練させる方法と似ており、多くの人がメールアプリのメッセージ内のリモートコンテンツを自動的に読み込む機能を無効にすることを推奨する理由でもあります。

スパムをゴミ箱に戻す

ありがたいことに、今週初めにご紹介した回避策があります。これを使えば、スパム送信者に自分の存在を知られることなく、スパムカレンダーの招待を非表示にすることができます。しかし、このタイプの回避策は比較的面倒で、長期的な解決策としては現実的ではありません。

Appleがこの問題にどう対処するつもりなのかは正確には分かりませんが、スパムアカウントを単に削除するだけでなく、より強力な戦略を採用することを期待しています。そのようなアプローチは、モグラ叩きのような勝ち目のないゲームに等しいだけでなく、iCloudカレンダーを無効にする以外に現実的な解決策がないAppleユーザーにとって、むしろ不利益となるでしょう。

しかし、Apple がさらに詳しい情報を提供するまでは、Mac、iOS、さらには Fantastical など iCloud と連携するサードパーティ製アプリのユーザーも含め、iCloud カレンダーのすべてのユーザーは、こうしたスパム招待に警戒し、受け取った場合には適切な措置を講じる必要があります。