人気のYouTubeチャンネルがハッカーによって乗っ取られる事件が、遅くとも2019年以降に多発していることが明らかになった。乗っ取りに成功した犯人は、これらのYouTubeチャンネルを仮想通貨(暗号通貨、暗号資産)絡みの詐欺に利用したり、アカウントを売りさばいたりしている。

こうしたなかグーグルは、雇われハッカーが過去わずか数年間で、数千人のユーチューバーのアカウントの乗っ取りに利用した手法を詳細に公表した。

仮想通貨に関連した詐欺やアカウントの乗っ取り自体は、必ずしも稀なことではない。大規模な混乱を巻き起こした事例としては、2020年秋のTwitterアカウントのハッキング事件が記憶に新しい。

とはいえ、YouTubeアカウントに対する執拗な攻撃は、被害が広範にわたる点においても、ハッカーが利用している手法においても際立っている。ハッカーが利用しているのは特に新しい手法ではないが、防御は非常に困難なものとなっている。

きっかけはフィッシング詐欺

その手口はすべて、フィッシングからはじまる。VPN(仮想プライヴェートネットワーク)や写真編集アプリ、ウイルス対策ソフトなどの本物のサーヴィスのように見せかけて、ユーチューバーに協力を依頼するメールを送るのだ。

メールには、製品を視聴者に紹介すれば謝礼を払うなど、標準的な販促依頼の内容が記載されている。インフルエンサーに報酬を支払うことが多い業界では、人気ユーチューバーにとってそんなメールを受け取ることは日常茶飯事である。

ところが、リンクをクリックして製品をダウンロードすると、本物のサイトではなく、マルウェアのランディングページに誘導される。ハッカーが、シスコのVPNやゲームプラットフォーム「Steam」のゲームといったよく知られた製品の販促担当者に扮している場合もある。また、新型コロナウイルス感染症に焦点を当てたメディアの運営者になりすますこともある。

グーグルによると、無防備なユーチューバーのアカウントを感染させる目的でつくられたドメインが、これまで1,000個以上は発見されている。それだけでも規模の大きさがわかるが、この計画の背後にいる攻撃者に関連するメールアカウントは15,000個も発見されたという。

そのため、この攻撃は単独で実行されているわけではない可能性が高い。さまざまなハッカーが、ロシア語のフォーラムにおいてアカウント乗っ取りサーヴィスを宣伝していたと、グーグルは発表している。

狙われるCookie

ユーチューバーが気づかずに悪意あるソフトウェアをダウンロードすると、ブラウザーから「セッション Cookie」と呼ばれる固有のCookieが盗まれる。このCookieはユーザーがアカウントに正常にログインしたことを確認するものだ。このためハッカーは、盗んだCookieを悪意あるサーヴァーにアップロードし、すでに認証を済ませた被害者になりすますことが可能になる。

ログインプロセスのいかなる部分も通過する必要がなくなるので、セッション Cookieは攻撃者にとって非常に貴重だ。映画『スター・ウォーズ』に例えるなら、ストームトルーパーの装甲服を拝借してしまえばデス・スターの拘置所に忍び込むための認証情報は必要ない、といった具合である。

「2段階認証などの追加のセキュリティ対策を講じると、攻撃者をかなり防ぐことができます」と、イリノイ大学シカゴ校でCookieの盗難について研究しているコンピューターサイエンティストのジェイソン・ポラキスは言う。「このためブラウザーのCookieは、攻撃者にとって非常に貴重なリソースになります。ログインプロセスによって引き起こされる追加のセキュリティチェックや防御策を避けることができるからです」

このような「Pass-the-cookie攻撃」が登場してから10年以上が経つが、この攻撃はまだ効果的である。グーグルによると、これらの攻撃を利用したハッキング活動においては、ハッカーが被害者のデヴァイスからブラウザーのCookieを盗むために、容易に入手可能なオープンソースのマルウェアツールを十種類以上は利用している様子が観察されたという。これらのハッキングツールの多くは、パスワードを盗むこともできる。

「アカウント乗っ取り攻撃の脅威は依然として蔓延しています。攻撃者が乗っ取ったアカウントを多種多様な方法で活用できるからです」と、ポラキスは言う。「乗っ取ったメールアカウントを利用して、詐欺やフィッシングの活動を広めたりできます。また、盗んだセッション Cookieを利用して被害者の金融機関の口座から資金を引き出したりすることも可能です」

対応に動いたグーグル

グーグルは、どの特定の事件がCookieの盗難によるものかは発表していない。とはいえ、アカウントの乗っ取りは2020年8月に大幅に増加した。このときは数十万人のフォロワーをもつ複数のアカウントが乗っ取られた上、「イーロン・マスク」や「スペースX」を装ったチャンネル名に変更され、ビットコイン絡みの詐欺がライヴ配信された。

これらの詐欺がどれだけの収益に結びついたのかは明らかでない。だが、攻撃が執拗に繰り返されていたことから考えると、少なくともほどほどには成功したのだろう。

このようなYouTubeアカウントの乗っ取りは2019年と2020年に増加した。グーグルは、この件に対処するためにセキュリティチームをいくつか立ち上げたという。

こうしてグーグルは、Gmailを利用したフィッシングメールの99.6%を2021年5月以降に防御したと発表している。160万件のメッセージと2,400件の悪意あるファイルをブロックし、フィッシングのページへの注意を呼びかける62,000件の警告を表示し、4,000件のアカウントの復元に成功したという。

グーグルの研究者によると、現在では攻撃者がグーグルによるフィッシングの検出を避けるために、「aol.com」「email.cz」「seznam.cz」「post.cz」など、Gmail以外の電子メールプロヴァイダーを利用するユーチューバーに標的を移している。さらに攻撃を目立たなくするために、WhatsAppやTelegram、Discordなどのメッセージアプリにも標的を移し始めているという。

「乗っ取られたチャンネルの多くは、仮想通貨をだましとる目的のライヴ配信に利用するために変更が加えられていました」と、グーグルの脅威分析グループ(TAG)はブログで説明している。「チャンネル名、プロフィールの写真、コンテンツはすべて、大手テック企業や仮想通貨取引所を装った仮想通貨のブランディングに置き換えられていました。そして、最初にコントリビューション(貢献)すれば仮想通貨の供与を約束する、といった動画がライヴ配信されていました」

利用者ができること

2段階認証は、このようなマルウェアによるCookieの盗難を阻止できない。だが、ほかの種類の詐欺やフィッシングに対しては重要な保護機能となる。そこでグーグルは今年11月1日以降、チャンネルを収益化設定しているユーチューバーに対し、「YouTube Studio」か「YouTube Studio コンテンツ マネージャ」とひも付けられたGoogle アカウントで2段階認証を有効化するよう義務づける。

さらに、悪意のある可能性があるページに対しては、グーグルの「セーフ ブラウジング」機能が発する警告に注意を払うことが重要だろう。また引き続き、何をクリックするか、メールのどの添付書ファイルをダウンロードするのか注意すべきである。

YouTubeの視聴者に対するアドヴァイスはもっと簡単だ。お気に入りのチャンネルが、あまりにも話がうますぎる仮想通貨の取り引きを宣伝している場合は、疑いのまなざしを向けながらスルーすることだろう。

※『WIRED』によるハッキングの関連記事はこちら



Source link