ICSファイル｜ブログ(ほぼこもセキュリティニュース)｜(株)コンステラセキュリティジャパン

ほぼこもセキュリティニュース　By Terilogy Worx

ICSファイルはiCalendar形式のファイルです。
多くのカレンダーアプリケーションで使われる共通のデータ形式で、GoogleカレンダーやOutlookカレンダーなどをはじめとして、さまざまなカレンダー機能を持つアプリケーションでサポートされています。
たとえば、メールに添付されたICSファイルを使って、自分の利用しているカレンダーアプリに新しい予定を登録したりすることができます。
このICSファイルを使った脅威活動が観測されています。

メールが来る
ICSファイルの添付されたメールがやってきます。
このメール自体はスパムメールということになるのですが、メールの内容の怪しさが少ないためか、スパムメールに自動分類されないことがあるようです。
メールのICSで予定を登録する
メール受信者はICSファイルを使って予定を登録します。
この時点では、まだ攻撃に達していません。
発生する事柄は、予定情報のスケジュールアプリへの追加です。
追加された予定の内容を確認する
ICSファイルには、いくつかの情報が含まれています。
今回確認されている活動では、ICSファイルの中の「場所」の部分と「説明」の部分にURL情報が含まれていました。
ICSで設定された内容を確認しようとした人は、この場所と説明に記載されているURLを開くことがありそうです。
このURLを開くと、何段かのリダイレクトを経て、攻撃者の用意したコンテンツに誘導されていきます。

この脅威活動は、このままでは自動で攻撃が進捗するようにはなっていません。
メール受信者が添付のICSを使って予定を登録することが必要です。
さらに、作成された予定の中のURLを開いてくれる必要があります。
でも、そういう構造だからこそ、こういった内容となっているICSファイルをいわゆる悪性の強いものとして認識できるセキュリティ対策機構が現状ではないということなのかもしれません。

脅威につながる情報の隠し場所は、まだまだありそうです。
利用環境にアンチウイルスなどのセキュリティ機構があるから安心、とはなりそうにありません。