この手口がやっかいなのは、メールのように「開くかどうか」を自分で選べない点です。何も操作しなくても見知らぬ予定がいつの間にか入り込み、定刻になると通知やリマインダーまで表示されてしまいます。
「どこから来たか」より「何を求められているか」で判断する
送信元の確認が無意味になったわけではありませんが、それだけでは防ぎきれなくなっているのが実情です。ここで確認すべきは、ページやメールが本物かどうかではなく、そこで自分が何をさせられているかという視点です。これからは、どこから来たかではなく何を求められているかを判断基準として、次の3つを習慣にしましょう。
ログインが必要なら、いったん通知を閉じて、ブックマークや公式アプリからログインし直す。GoogleのログインページのURLは「accounts.google.com」なので、改めてリンクを確認する。
送り主を名乗る人に、電話やチャットなどメール以外の手段で「送りましたか」と一言聞く。確認が取れないものは開かない。
Googleカレンダーの設定で、招待の自動追加を「送信者が既知の場合のみ」に変更する。万能ではないが、見知らぬ相手からの招待が勝手に予定表へ入るのを防げる。
3つに共通するのは、相手の要求に乗る前に一呼吸置くことです。攻撃者は必ず私たちに何かをさせようとするため、その瞬間が見抜くチャンスです。
それでも、忙しいときにうっかり入力してしまうことはあると思います。もし入力してしまったら、すぐにそのサービスのパスワードを変更し、多要素認証(パスワードに加えてスマートフォンなどでも本人確認する仕組み)を有効にしてください。
仕事のアカウントなら、ためらわずにIT担当部門へ報告しましょう。報告が早いほど、被害は小さく抑えられます。
筆者もセキュリティの相談を受けるなかで、「Googleからのメールだったので疑いませんでした」という声を聞いてきました。送信元は正真正銘の本物なのですから無理もないと思います。そのため、「公式ドメインだから安全」という思い込みを改め、送信元ではなく何を求められているかで立ち止まれれば、被害の多くは防げるはずです。



