Home ユーチューバー YouTuberを襲うサイバー攻撃が進行中、二段階認証も突破される新手口とは – ITmedia

YouTuberを襲うサイバー攻撃が進行中、二段階認証も突破される新手口とは – ITmedia

50 second read
0
109


 2019年9月ごろから、Googleアカウントを狙ったフィッシング詐欺の被害が相次いでいます。その攻撃の矛先は不特定多数の一般人ではなく、動画投稿で収益を得る「YouTuber」(ユーチューバー)の人たちです。手口も比較的新しい手法で、Googleの二段階認証を突破して不正ログインする方法が用いられています。なぜYouTuberが狙われるのか、どのような手法でGoogleアカウントが乗っ取られているのか、関係者から得られた情報をまとめました。

著者:Cheena

仮想通貨取引所「Coincheck」からの大量の仮想通貨流出事件や、「漫画村」など海賊版漫画サイトの追跡でいち早く新情報を探し当てたホワイトハッカー。ダークウェブやネット上での匿名化技術に精通し、「ダークウェブの教科書 匿名化ツールの実践」(データハウス)を執筆した。

日本を含め世界中で被害発生

 このYouTuber乗っ取り事案は世界規模で発生しています。海外での同様の事象は、19年9月にZDNetが報じました

 日本でも複数のYouTuberが被害に遭っており、9月には博多弁バーチャルYouTuberの舞鶴よかと (@yokato_ch)さんが、Twitterで自身のYouTubeチャンネルが乗っ取られたことを報告していました。

 ドラゴンボールに関する動画を公開しているNOA(@noa_dbh)さんも1月27日、Twitterで同様の報告をしています。

 その他にも、被害を報告しているYouTuberを複数観測しています。

 乗っ取られた全員に共通していることは、YouTubeチャンネルが乗っ取られて管理できなくなり、そのチャンネルで「月曜から夜ふかし」などのバラエティ番組やアニメの映像が著作権者の許可なくアップロードされているという点です。


乗っ取られたYouTubeチャンネルにアップロードされた著作権侵害の動画(編集部で一部加工)

不安をあおってフィッシングサイトに誘導 “時間差”で不正発覚防ぐトリックも

 この乗っ取りを行っている人物(攻撃者)は、フィッシング詐欺でYouTubeチャンネルとひも付いたGoogleアカウントの情報を窃取し、チャンネルを乗っ取っています。匿名を条件に語ったあるYouTuberは、普段から以下の画像のような怪しいメールが大量に届いていると話しました。


Googleを騙ったフィッシングメール

 メールは「Security Alert(セキュリティの警告)」と題し、本文では「あなたのYouTubeチャンネルに違う端末からログインがありました」と、不正ログインがあったかのように装って恐怖心をあおることで、フィッシングサイトにつながるリンクをクリックさせようとしています。

 先のYouTuberは、似たようなメールが他の多くのYouTuber仲間にも届いているようだと語りました。

 筆者がこのメールに記載されていたリンクを調べたところ、リンクにはURL転送サービスが使われており、本物のYouTubeに転送されました。

 しかし、これは不正発覚を防ぐためのトリックとみるのが妥当です。つまり、攻撃者は当該URLからフィッシングサイトへ転送するよう始めに設定しておき、ある程度の時間が経過した後に転送先を本家のYouTubeに切り替えているということです。このため、実際にフィッシングサイトがどのように稼働しているかまで確認することはできませんでした。

「二段階認証」でも防げない、新たなフィッシング詐欺手法

 フィッシング詐欺の対策として挙げられる手法の一つが「二段階認証(二要素認証)」です。これは、メールアドレスとパスワードを用いたログイン手段のほかに、スマートフォンなどもう1つの端末で発行される一時的なコードを入力することで、IDやパスワードが盗まれても不正ログインを防ぐという仕組みで、Googleを含め多くのサイトで採用されています。

 そのため、フィッシング詐欺の被害に遭う人はこの二段階認証を設定していなかったというのが、少しリテラシーの高い人の共通認識ではないでしょうか。

 しかし、この常識も崩れつつあります。今回のフィッシング詐欺ではこの二段階認証も突破されています。

 二段階認証を突破するフィッシング詐欺はここ最近のトレンドとなっています。最近では、国内ネットバンキングの二段階認証を狙うフィッシング詐欺によって不正送金の被害が急増しています

 どのようにしてこのフィッシング詐欺が行われたのかを、筆者が集めた情報を基に図で説明していきます。


 まず、攻撃者は先述のようにフィッシングサイトへのリンクを含んだメールをYouTubeのアカウントを持っている人に送りつけます。攻撃者がどのようにしてYouTubeに登録している人のメールアドレスを入手したかは不明ですが、YouTuberが連絡先を公開していることも多く、そこから1つずつ収集した可能性はあります。

 フィッシングメールを受信した人がリンクをクリックし偽サイトにログインします。このとき、偽サイトは入力された情報を基に実際にGoogleにログインを試みます。ログインの1段階目が成功すると二段階認証が本来のユーザーに要求されるので、それを入力するようユーザーに求めます。被害者が入力すると、2段階目のログインが成功します。

 リアルタイムでサービスにログインし、必要な情報の入力を被害者に行わせることで、二段階認証の突破が可能となってしまうということです。

 ログインに成功すると、攻撃者は自分の用意したGoogleアカウントをYouTubeチャンネルのオーナー(最上位の管理者権限)に招待。承認後、元のオーナーの権限をはく奪します(この手続きは、あらかじめそのようにプログラムされていると考えるのが自然でしょう)。さらに元オーナーのアカウントを削除することで乗っ取りは完了です。

 不正ログイン以降の手続きはYouTubeのチャンネル譲渡機能として正当な手続きであり、不正ログインを許してしまうだけでこれまで築き上げてきたものを全て乗っ取られてしまうということです。

 こうしてチャンネルの乗っ取りに成功した後は、攻撃者はコンテンツを違法にアップロードしています。

攻撃者の目的は何なのか?

 では、攻撃者が何を目的にこのような乗っ取り行為を行っているか考えてみます。攻撃者はチャンネルの乗っ取り後、著作物をアップロードしているのは先述のとおりですが、これは人気の著作物で再生数を増やした後、攻撃者のGoogleアカウントにリンクした支払先情報で収益を受け取っているものと考えられます。

 YouTubeで収益化を行うには条件があり、それをクリアする必要があるため、単にYouTubeチャンネルを開いて違法アップロードをするだけでは収益を得られません。攻撃者がYouTuberを狙うのはこれが理由とみられます。つまり、収益化済みのチャンネルを奪えば収益化条件を一足飛びにして、違法動画から収益を得ることが可能になるということです。

 しかし、攻撃者が乗っ取ったチャンネルには元のYouTuberの視聴者がいるわけで、視聴者らが通報することでGoogleアカウントが停止される可能性を考えれば、収益の受け取りは簡単ではないように思われます。それにしても昨年9月からこの攻撃が続いていることを考えると、攻撃者はある程度の成果を上げているのかもしれません。

被害に遭わないためにどうするべきか?

 二段階認証を突破するフィッシングサイトは、従来のフィッシングにとって代わる存在になると予想されます。これを防ぐにはどのような手段が有効でしょうか。

(1)ドメインを確認する

 普段から自分が利用しているサイトのドメイン(google.com、yahoo.co.jpなど)を覚えておいて、メールの送信元やリンク先にそのドメインが使われているかを確認しましょう。今回のフィッシングで送られているメールの発信元は「amazonses.com」などと、正しいものではありません。

(2)メールのリンクをクリックしてログインしない

 フィッシングの入り口は多くがメールです。メールで届いたリンクからログインするという流れに乗らなければ、被害に遭うのを回避できます。メールを経由せずにWebサイトにログインしてマイページなどを確認すれば、本当に何か問題が発生しているのなら何らかの通知を確認できるはずです。

(3)メールのタイトルで検索してみる

 ほとんどの場合、攻撃者は一人だけを狙うことはありません。成功確率を高めるため多くの人にフィッシングメールを送ります。そうすると「これはフィッシングメールだ」と気付いた人がネット上に報告している場合があります。タイトルや文面をTwitterや検索エンジンで調べてみるとヒットするかもしれません。

(4)待ってみる

 それでも判断が難しければ、そのメールを2〜3日放置してみましょう。Googleなどさまざまなサービスはリンクが安全かそうでないかを常にチェックしており、ブラウザで開いた際にもしメール内のリンクがブラックリストに入っていれば閲覧をブロックします。リストに入るまでに時間を要するので待つ必要があるということです。ただ、すべての詐欺サイトがリストに入るわけではないことには留意しておく必要もあります。

(5)サービスが提供しているセキュリティ診断ツールを利用する

 Googleではアカウントのセキュリティを高めるためのガイドや診断ツールを提供しています。これらを参考にしてアカウントの保護に努めましょう。

 先述の舞鶴よかとさんのYouTubeチャンネルは19年11月に、Googleアカウントは20年1月に復旧しましたが、事件が起きた9月からの期間を考えると、復旧までに約5カ月もの長い期間を要しています。


停止されていたYouTubeチャンネル

 これほど長い期間チャンネルが停止されることは、YouTubeで収益を得ている人たちにとっては大きな打撃となり得ます。話を聞く限り、YouTubeの日本語サポート担当は迅速な対応を行っているようですが、これだけ対応に時間がかかることも考えると、自分の身は自分で守るという姿勢が重要だと思います。

Let’s block ads! (Why?)


Source link

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

Check Also

【いま見たいドラマ】「薄っぺらい人間」と言われたモデルの“生まれ変わり”ストーリー 「私はラブ・リーガル」に勇気づけられる(ねとらぼ) – Yahoo!ニュース

転生したら弁護士になった!?  がんばるオトナたちのための、ハッピーでポップなリーガルドラマ「私はラブ・リーガ … …