Calendly悪用のフィッシング、ホテルを標的に――メール認証を突破する「認証ロンダリング」の手口とは
2026年6月28日 16:14
欧州やアジアのホテルを標的に、日程調整ツール「Calendly」などの正規SaaSの通知機能を悪用したフィッシング攻撃が急増している。Microsoft Threat Intelligenceの報告によると、この攻撃はメール認証規格(SPF/DKIM/DMARC)を完全に突破する「認証ロンダリング」と呼ばれる手法を用いている。現時点で攻撃者の特定には至っていないが、企業のメールセキュリティの根本的な脆弱性を突くものとして警戒が呼びかけられている。
■メール認証を無効化する「認証ロンダリング」
2026年4月以降、欧州とアジアのホテルを標的としたフィッシングキャンペーンが活発化している。この攻撃は、企業のメールセキュリティにおける構造的な欠陥を突いたものだ。具体的には、日程調整ツール「Calendly」の正規の通知インフラを経由して悪意あるメッセージを配信することで、企業のメールフィルターが実行するすべての認証チェックをパスし、最終的にホテルのフロントデスクのPCにステルス性の高いNode.jsバックドアを配備する。
Microsoft Threat Intelligenceは2026年6月25日、このキャンペーンを公表し、その配信手法を「認証ロンダリング(authentication laundering)」と正式に命名した。同社は、これがホテル業界にとどまらない、新たな回避手法のクラスであると警告している。
根本的な問題は、メールセキュリティの構造にある。企業向けセキュリティフィルターが信頼性のシグナルとして使用する3つの主要なメール認証規格(SPF、DKIM、DMARC)は、送信者がそのドメインを代表して送信する権限があるかを確認するために設計されたものであり、メッセージの内容が悪意あるものかどうかを評価するようには設計されていない。そのため、攻撃者が正規プラットフォームの送信インフラへのアクセスを得てメールを送信すると、これら3つのチェックはすべてパスしてしまい、フィッシングメールがそのまま受信箱に届くことになる。
■巧妙な攻撃チェーンの全貌
このキャンペーンにおけるフィッシングメールは、「Booking Manager (via Calendly)」という表示名で届く。メッセージはなりすまし(スプーフィング)ではなく、攻撃者が実際に登録した本物のCalendlyアカウントから、CalendlyのSendGrid-basedの送信インフラ(具体的には em1618.calendly.com サブドメイン)を通じて送信される。Calendlyの正規サーバーから送信されるためSPFをパスし、有効な暗号署名があるためDKIMをパスし、ドメインが一致するためDMARCもパスする。フィルター層では、正規の通知と区別がつかない。
標的となるのはホテルの運営スタッフだ。メールは日本語、デンマーク語、オランダ語で届き、特に日本語のケースが最も多く確認されている。内容は、宿泊客からの苦情、トコジラミの発生報告、確認電話の通知、客室状況の問い合わせ、滞在レビューの依頼など多岐にわたる。メールの件名には、受信者名やホテル名などの具体的な情報はなく、匿名の「ゲスト」や「宿泊施設」と言及されており、大量送信のパターンを示している。一方で、苦情や営業停止の脅しなど、ホテルの評判に対するプレッシャーをかけることで開封を促す。
メール内にはCalendlyの転送URLが埋め込まれており、4段階のホップを経て最終目的地を隠蔽する。CalendlyのリンクからGoogleの転送サービス(share.google)を経由し、Cloudflareでホストされた「.cfd」ドメインへ遷移。そこでCloudflare Turnstileの「人間であることを確認する」パズルを表示して自動分析ツールをブロックする。このパズルをクリアすると、「photo-[ランダムな数字].zip」というアーカイブファイルがダウンロードされる。
■ZIPファイルとLNKショートカットによる感染プロセス
ダウンロードされたZIPアーカイブには、画像ファイルを装ったWindowsのショートカットファイル(.lnk)が含まれている。拡張子は「.png.lnk」などとなっており、ファイルサイズは1,989〜2,079バイトで一貫していることから、共通のビルドツールが使われたとMicrosoftは分析している。被害に遭ったデバイス名には「reception」「frontdesk」「reservations」などが含まれており、フロント業務のスタッフが明確に狙われていることが確認された。
従業員が画像だと思ってこのファイルを開くと、PowerShellが実行される。スクリプトはBigIntベースのデコーダーでダウンロードURLを復号し、別のPowerShellスクリプトを一時フォルダ(%TEMP%)にプルし、正規のnodejs.orgからNode.jsランタイム(node-v24.13.0-win-x64)をダウンロードする。第2波の攻撃では、C#コンパイラ(csc.exe)などを通じて動的に.NET DLLをコンパイルする中間ステージも確認された。
正規のNode.jsランタイムは、悪意あるJavaScriptペイロードの実行手段として機能する。ペイロードはメモリ上でのみ実行され、ディスクに検出可能な実行ファイルを書き込まないため、検知が極めて困難だ。その後、WindowsレジストリのRunキーにエントリを書き込んで永続化を図り、Microsoft Defenderの除外リストを改ざんして自身をリアルタイムスキャンから隠蔽する。
Microsoftは、このキャンペーンを特定の既知の攻撃グループに帰属させておらず、最終的な目的は不明としている。しかし、難読化と永続化への投資から、さらなる後続活動への準備段階である可能性を示唆している。
■Calendlyにとどまらない「Platform-as-a-Proxy」
Cisco Talosの研究者も2026年4月に同様の攻撃カテゴリを独自に文書化し、「Platform-as-a-Proxy」と命名した。彼らの分析によると、攻撃者はGitHubやJiraの通知システムも同様に悪用し、SPF/DKIM/DMARCをパスするフィッシングコンテンツを配信していた。あるGitHub悪用キャンペーンのピーク時には、GitHubインフラから送信された全メールの約2.89%がこの悪用パターンに関連していたという。
この構造的な影響は重大だ。ユーザーに代わって自動メール通知を送信するあらゆるSaaSプラットフォーム(日程調整、電子署名、プロジェクト管理、CRM、請求、HRなど)が、同様の踏み台になり得る。インフラ自体は正規のものであるため、現代のメールセキュリティの主要なゲートキーパーが無効化されてしまうのだ。
■欧州・アジアのホテルが直面するリスク
ホテルのフロントデスクのシステムは、プロパティマネジメントシステム(PMS)、決済処理インフラ、顧客データ、予約データベースに直接接続されているため、サイバー犯罪者の格好の標的となる。2026年初頭に公表されたOtelier(ホテル管理プラットフォーム)のデータ侵害では、マリオット、ヒルトン、ハイアットなどの宿泊客データが流出した。また、2026年5月には、ベストウェスタンなどを傘下に持つBWH Hotelsが、2025年10月から2026年4月にかけて予約システムへの不正アクセスがあったことを公表している。
特に欧州のホテル業界は、EU一般データ保護規則(GDPR)による追加の規制リスクにも直面している。宿泊客の個人データが流出した場合、グローバル年間売上高の最大4%の罰金が科される可能性があるため、厳格な対応が求められる。
■従来のフィッシング対策との違いと対策
従来のフィッシング対策トレーニングは、送信ドメインの確認や表示名の不一致、緊急性を煽る表現への警戒に焦点を当てていた。しかし、今回の攻撃はこれらすべてを無効化する。送信ドメインは本物のCalendlyであり、表示名も正確で、宿泊客の苦情という緊急性もホテル業務において極めて自然である。
唯一偽装できないのは、「圧縮アーカイブをダウンロードさせ、写真に見えるファイルを開かせる」という行動だ。組織は、Calendlyの通知からZIPファイルがダウンロードされることは通常のワークフローではないことをスタッフに教育すべきである。
Microsoftは、不審な親プロセスから起動するNode.jsプロセス、BigIntデコードを伴うPowerShellの挙動、レジストリのRunキーへの不審な書き込み、非標準ポートを介した外部通信の監視を推奨している。
■注目ポイントQ&A
●ホテルを標的にしたCalendlyフィッシング攻撃はどのような仕組みですか?
攻撃者は本物のCalendlyアカウントを作成し、その通知システムを利用してホテルスタッフにフィッシングメールを送信します。メールはCalendlyの正規インフラから送信されるため、主要なメール認証(SPF、DKIM、DMARC)をすべてパスして受信箱に届きます。メール内のリンクをクリックすると、最終的に画像ファイルを装ったマルウェア入りのZIPファイルがダウンロードされる仕組みです。
●認証ロンダリングとは何ですか?他のシステムにも影響しますか?
認証ロンダリングとは、フィッシングメールを正規プラットフォームの送信インフラ経由で配信することで、そのプラットフォームの信頼された認証情報を引き継がせる手法を指すMicrosoftの用語です。Calendlyだけでなく、GitHubやJiraなどの通知システムを悪用した同様の攻撃も確認されており、ユーザーに代わってメール通知を送信するあらゆるSaaSプラットフォームがこの攻撃の踏み台になる可能性があります。
●ホテルのセキュリティチームはどのような対策を取るべきですか?
Microsoftは、不審なプロセスから起動するNode.js、BigIntデコードを行うPowerShell、レジストリへの不審な書き込み、非標準ポートへの外部通信などを監視することを推奨しています。また、従業員に対しては、日程調整の通知からZIPファイルや画像ファイルをダウンロードして開くことは通常の業務フローではないことを周知徹底する教育が有効です。
●なぜホテルがこれほど頻繁に標的にされるのですか?
ホテルは外部からの問い合わせが多く、スタッフが不審な添付ファイルを開いてしまう可能性が高いためです。また、フロントデスクのシステムは、宿泊客の個人情報やクレジットカード情報が保管されている予約データベースや決済システムに直結しています。2024年におけるホスピタリティ部門のデータ侵害の平均コストは386万ドル(約6億2,532万円、1ドル=162円換算)に達しており、過去にはMGMリゾーツやマリオットなどの大手チェーンも被害に遭っています。
元記事: Hotel Phishing Attack Uses Calendly to Bypass Email Authentication Filters