最終更新 2022年3月7日
<注意>YouTube乗っ取り確認なぜ2段階認証ハッキング目的2つ
有名か無名かに関係なく世界中の動画配信者さんが狙われる!
マルウェア (コンピュータ ウイルス) に感染した Windows パソコンから認証情報を盗み、攻撃者が Google アカウントに不正アクセスして YouTube チャンネルを乗っ取るハッキング被害 が確認されているので紹介します。 

YouTube 乗っ取り確認方法 3 ステップ
まず、自分の YouTube チャンネルが乗っ取り被害に巻き込まれていないことを確認する方法 1・2・3 がこちら。 
YouTube アカウント = Google アカウント

確認! 大事な Google アカウントを死守しよう
【1】
Google アカウントの 「セキュリティ診断」 に移動して [お使いのデバイス] 項目を確認します。
端末の情報が表示されるので、日本国外から見知らぬ端末のログインがないか確認しましょう。 (Google アカウントにログインしていない状態へ切り替えるログアウトも可能)
- 端末の種類
Windows、Mac、(スマホやタブレットの場合) 機種名
└ ブラウザのユーザー エージェントから環境を推定 - 地理的な位置
国、都道府県
└ IP アドレスから おおよその地域を推定
【2】
自分の Gmail メールアカウントを作成済みならば 「アカウントのアクティビティ」 を確認します。
最近のアクティビティ (直近 10 件) から 「ロケーション IP アドレス」 の国に不審な点がないか確認しましょう。
- Gmail 以外のウェブメールやアプリから POP/IMAP 経由で接続している
→ サービス提供元として海外の場所が表示される場合あり
【3】
自分の YouTube チャンネルを作成済みならば YouTube Studio ダーッシュボードを開きます。
そして、左下の歯車マーク [設定] → 左メーニュー [権限] を選択してください。
ここで自分の YouTube アカウントの役割が 〔所有者〕 になっているか確認し、さらに見知らぬ 〔管理者〕 と 〔編集者〕 がいないか確認しましょう。 (YouTube チャンネルへアクセス権を持つユーザーの権限を削除することも可能)
YouTube チャンネル乗っ取り被害の実例
ロシア語圏からと推測される攻撃者グループによって YouTube チャンネルが乗っ取られたらどうなるか、ハッキング被害の状況が丸分かりの事例 2 つをスクリーンショット画像で示します。 

ハッキングされた YouTube アカウントを復旧する
https://support.google.com/youtube/answer/76187?hl=ja
○ 変更した覚えがないのに、変更された項目がある:
プロフィール写真、自己紹介、メール設定、AdSense の関連付け、送信済みのメッセージなどが変更されている場合。Firefly○ 自分の動画ではない動画がアップロードされている:
他の誰かが、あなたの Google アカウントを使って動画を投稿した可能性があります。これらの動画について、場合によっては不適切なコンテンツに対する罰則や違反警告に関連した通知メールが届くことがあります。
YouTube クリエーター サポートチームに問い合わせる
https://support.google.com/youtube/answer/6249136?hl=ja
Twitter アカウント → @TeamYoutube
乗っ取られた YouTube チャンネルを復旧する対応について、アカウントをフォロー後にダイレクトメッセージで不正使用対策チームに問い合わせる案内あり (日本語対応)
〔1〕 YouTube 乗っ取り目的 「仮想通貨詐欺」
YouTube に投稿してあった自分の動画が勝手に削除された!?
YouTube チャンネルで知らない外国人のおじさんが配信している!?
あなたの YouTube チャンネルを乗っ取るハッキング目的の 1 つが、『送金した仮想通貨を 2 倍にして返す』 のダマし文句で 「イーサリアム」 「リップル」 「ビットコイン」 といった 暗号資産 (仮想通貨) を送金させて盗む詐欺動画 の配信です。



YouTube 仮想通貨詐欺に登場する人物 | |
---|---|
Michael Saylor | ビットコイン、イーサリアム |
Vitalik Buterin | イーサリアム |
Brad Garlinghouse | リップル 無題な濃いログ |
Do Kwon | テラ |
Elon Musk | ビットコイン、イーサリアム、柴犬コイン、ドージコイン |
Cathie Wood | ビットコイン、イーサリアム |
Charles Hoskinson | カルダノ 無題な濃いログ |
Changpeng Zhao | ビットコイン、イーサリアム |
Beniamin Mincu | エルロンド |
Lon Wong | ネム 無題な濃いログ |


〔2〕 YouTube 乗っ取り目的 「マルウェア感染動画」
見知らぬ英語の動画が YouTube に勝手に投稿されている!?
あなたの YouTube チャンネルを乗っ取るハッキング目的の 1 つが、「(ゲームの) チートツール」 や 「(有償製品の) 無料ダウンロード・クラック」 をエサに無警戒な Windows ユーザーをおびき寄せて マルウェアに感染させる危険な動画 の投稿です。



└ Windows 上で動作するオンラインゲームやソフトウェアに関連する英語の動画が多い Firefly

└ YouTube に投稿された動画を見ただけでウイルス感染する仕掛けはなし

└ 信頼できる人気の動画と思い込ませる効果、YouTube の検索結果で上位表示も

YouTube 乗っ取り原因で 「垢BAN」 凍結も
YouTube チャンネルを乗っ取られて何もせずに放置していると、YouTube チャンネルの運用を強制的に停止させる凍結の措置 (通称 「垢BAN」) が下る場合があります。
実際に、乗っ取り被害後に YouTube チャンネルが凍結された時の警告メッセージがコレ!
【YouTube チャンネル凍結の通知】 無題な濃いログ
スパム、詐欺、誤解を招くコンテンツに関する YouTube ポリシーやその他の利用規約に対する度重なる違反または重大な違反のため、このアカウントを停止しました。 無題な濃いログ
YouTube のコミュニティ ガイドラインに違反していたため、このアカウントを停止しました。
このチャンネルは存在しません。 無題な濃いログ第三者からの商標権侵害の申し立てにより、このアカウントを停止しました。
この動画は、次の YouTube ポリシーへの違反により削除されました: スパム、欺瞞行為、詐欺の禁止
https://fireflyframer.blog.jp/31638746.html
YouTube チャンネルが乗っ取られていた事実に気づいていないユーザーさんはどうなるでしょうか?
〔度重なる違反または重大な違反〕 という通告に驚くとともに、前から健全な運営を心がけている場合も多いだろうから YouTube の利用規約 「コミュニティ ガイドライン」 の違反に身に覚えがないとなるはずです。
やむを得ない Google の適切な対応が誤りである (通称 「誤BAN」) と判断してしまう可能性があります。
この凍結の措置が下ってから Google に再審査を申し立てても、利用規約に抵触していた事実が存在するためか、撤回されることなく凍結が解除されていない YouTube チャンネルも目撃しています。
なぜ? YouTube 乗っ取り前にマルウェア感染か
Google アカウントへの不正アクセスから YouTube チャンネル乗っ取りの目的と理由は…?
十中八九、乗っ取られた被害者の使っている端末の 1 つが Windows パソコン のはずです。
Windows パソコン × マルウェア感染
2021 年 10 月に Google のセキュリティエンジニアが公開した記事 (抜粋) より、YouTube の乗っ取りの分析から マルウェア感染 が引き金になっている事実を指摘しました。
<長い文章をコチラで日本語訳

Cookie を盗むマルウェアを使い YouTube クリエイターを狙うフィッシング詐欺のキャンペーンhttps://blog.google/threat-analysis-group/phishing-campaign-targets-youtube-creators-cookie-theft-malware/
執筆者 Ashley Shen
Google の Threat Analysis Group は、偽情報のキャンペーン、政府が支援するハッキング、金銭的な動機による不正な行為に関与する攻撃者を追跡しています。
2019 年後半以降、私たちのチームは、Cookie Theft マルウェアを使って金銭的な動機に基づいて YouTuber を狙うフィッシング詐欺のキャンペーンを妨害してきました。
このキャンペーンの背後にいる人物は、ロシア語圏のフォーラムで募集されたハッカーのグループによるものと考えています。嘘のコラボレーションの機会 (例として、ウイルス対策ソフト、VPN ソフト、音楽プレーヤー、写真編集アプリ、オンラインゲームのデモンストレーション) でターゲットを勧誘し、YouTube チャンネルを乗っ取った後、YouTube チャンネルを最高入札者に売却したり、仮想通貨詐欺のライブ配信に使います。無題な濃いログ
YouTube、Gmail、Trust & Safety、CyberCrime Investigation Group、セーフ ブラウジングの各チームの連携により、私たちの保護機能は、関連した Gmail でのフィッシングメールを 2021 年 5 月から 99.6% 減少させることができました。
私たちは、ターゲットに対する 160 万通のメッセージをブロックし、Google セーフブラウジングによりフィッシングページに 6 万 2,000 回以上の警告を表示し、2,400 個のファイルをブロックし、4,000 件以上のアカウントの復元に成功しました。
検出活動の強化により、攻撃者は Gmail から他のEメールサービス (主に email.cz、seznam.cz、post.cz、aol.com) に移行していることを確認しています。
加えて、ユーザーを保護するため、次の行為を FBI に照会して詳しく調査しています。
〔 戦術・技術・手順 〕
Cookie Theft は、「Pass-the-Cookie 攻撃」 とも呼ばれ、ブラウザに保存されているセッション Cookie を使ってユーザーのアカウントにアクセスするセッション・ハイジャックの手法です。
この手法は何十年も前から存在していますが、セキュリティリスクの上位として復活した理由は、多要素認証の普及により不正使用が難しくなり、攻撃者の関心がソーシャル・エンジニアリングの戦術に移ったためと思われます。■ ソーシャル・エンジニアリングで YouTuber に広告のオファー
YouTube クリエイターの多くは、ビジネスチャンスを獲得するため、自分の YouTube チャンネルでEメールアドレスを提供しています。 (※脚注)
この場合、攻撃者が既存の企業に成りすまして、動画広告のコラボレーションを依頼するビジネスメールを装って送信しました。『こんにちは、Jeff Tyler と申します。私は pixprotect の責任者の一人です。最近、当社は pixprotect というウイルス対策ソフトを開発しましたが、米国ではほとんど知られていません。さらに多くの人に知ってもらうため、優れた広告が必要です。貴殿は優れた内容の YouTube チャンネルをお持ちのようで、30 秒か 15 秒の短い映像を発注させていただきます。
私たちのサービスを広告でどのように見せたいか。 Firefly
・ プログラムを起動して登録作業を行う様子をデモンストレーションしてもらう必要があります。
・ その動画のサムネイルは専用のものでなければなりません。
・ 差し支えなければ、当社のウイルス対策ソフトの信頼性について教えてください。
協力してくれることを願っています。ありがとうございます。』
このフィッシング詐欺は、通常、企業やその製品を紹介するEメールから始まります。
ターゲットが取引に応じると、ソフトウェアのダウンロード URL と装わせてマルウェアの配布ページが記載されてある PDF 文書を Google ドライブ上に公開してEメールで連絡したり、稀なケースではフィッシングサイトのリンクが含まれている Google ドキュメントを公開してEメールで連絡しました。 Firefly
約 15,000 の攻撃者のアカウントを確認しましたが、その大部分がこのキャンペーンのためだけに作成されたものでした。
■ Cookie 窃盗マルウェアの配信
ターゲットが偽のソフトウェアを実行すると、Cookie を盗むマルウェアが実行されて、被害者のパソコンからブラウザの Cookie を取得し、攻撃者のコマンド&コントロールのサーバーに送信されます。
この手のマルウェアは、被害者のパソコン上で常駐して動作することができますが、この攻撃者たちはすべてのマルウェアを常駐しないモードで動作させます。 Firefly
悪意のあるファイルを実行した時に検出されなかった場合、感染した端末での痕跡が少なくなるので、過去に侵害されていた事実をセキュリティ製品はユーザーに報告できなくなります。 無題な濃いログ
攻撃者は個人的な好みで様々な種類のマルウェアを使っていることを確認していますが、そのほとんどは GitHub で簡単に入手できます。
使われていた多用途型のマルウェアは 「RedLine Stealer」、「Vidar」、「Predator the Thief」、「Nexus Stealer」、「AZORult」、「Raccoon Stealer」、「GrandSteal」、「VikroStealer」、「Masad」 (Google が命名)、「Vidar」 とコードが類似している 「Kantal」 (Google が命名) などです。 Firefly
また、「SoranoStealer」、「Adamantium-Thief」 といったオープンソースのマルウェアも確認しています。 (※いずれも Windows 向けのマルウェア、それ以外の環境 mac.OS、Android、iOS では動作しない)
観測したマルウェアのほとんどは、ユーザーのパスワードと Cookie の両方を盗むことができます。
いくつかのサンプルは、サイズを巨大化させたファイル、パスワードで暗号化された圧縮アーカイブ、ダウンロードの IP クローキングといった、いくつかのサンドボックスを回避する技術が採用されていました。 (※脚注)
実行を継続させるため、偽のエラーメッセージを表示してユーザーのクリックを要求するものもわずかに観測しました。
「The application was unable to start correctly (0xc00007b). Click OK to close the application.」
■ 仮想通貨詐欺と YouTube チャンネルの販売
乗っ取られた大量の YouTube チャンネルは、仮想通貨に関連する詐欺のライブ配信用に再構築されました。
チャンネル名、プロフィール写真、コンテンツはすべて仮想通貨のブランドに置き換えられ、大手のテック企業や仮想通貨取引所に成りすましました。 Firefly
攻撃者は、最初の送金と引き換えに 仮想通貨を Giveaway (無料プレゼント) すると約束する動画をライブ配信 していました。
アカウントを取引するマーケットでは、乗っ取られた YouTube チャンネルが登録者数に応じて 3 ~ 4,000 米ドルの範囲でした。 (※日本円で約 350 円 ~ 46 万円)
■ 攻撃からユーザーを保護する
私たちはこのような脅威を検知する方法を継続的に改善し、自動的に識別して阻止する新しいツールや機能に投資をしています。
改善点の一部を紹介します。
・ フィッシング詐欺メール やソーシャル・エンジニアリングのEメール、Cookie Theft の乗っ取り、仮想通貨の詐欺のライブ配信を検知して阻止する経験則に基づいたルールを追加しました。
・ Google セーフブラウジングは、マルウェアの配布ページやダウンロードの検出と阻止をさらに強化しました。
・ YouTube はチャンネルを移行する手続きを強化し、乗っ取られた YouTube チャンネルの 99% 以上を検出して自動的に回復します。 Firefly
・ アカウントのセキュリティは認証の手続きを強化し、不自然な可能性のある挙動を阻止してユーザーに通知します。
また、このような脅威を認識して、適切な行動で身を守ることが重要です。
私たちの提案です。
・ Google セーフブラウジングの警告を真剣に受け止めること。ウイルス対策ソフトでマルウェアが検出されることを回避するため、攻撃者はユーザーに警告を無効化したり無視するよう誘惑します。
・ ソフトウェアを実行する前に、ウイルス対策ソフトや VirusTotal のようなオンラインのウイルススキャンツールを使ってウイルススキャンを行い、ファイルの正当性を確認します。 Firefly
・ Google Chrome ブラウザの 「セーフブラウジング 保護強化機能」 モードは、疑わしい可能性のあるウェブページやファイルに対する警告を向上させる機能です。
・ パスワードで暗号化された圧縮アーカイブ は、ウイルス対策ソフトのスキャンから検出を回避して、悪意のあるファイルを実行する危険性が高まることが多く、注意が必要です。 Firefly
・ パスワードが盗まれた場合に備えて、2 段階認証 (多要素認証) でアカウントを保護します。2021 年 11 月より、収益化している YouTube クリエイターは、YouTube Studio あるいは YouTube Studio コンテンツ マネージャーにアクセスするため、YouTube チャンネルで使用している Google アカウントで 2 段階認証を有効にする必要があります。
https://fireflyframer.blog.jp/31638746.html
○ 「自分の YouTube チャンネルでEメールアドレスを提供」
YouTube チャンネルのカスタマイズで 「連絡先情報」 にEメールアドレスを指定すると、外部窓口として YouTube チャンネルの概要ページに [ビジネス関係のお問い合わせ] 項目が設置される。
このメールアドレス宛てに攻撃者が直接コンタクトを取ってきて、セキュリティ用語で やり取り型 (IPA の解説記事) と呼ばれるフィッシング攻撃が実行され、YouTube チャンネルが侵害されるキッカケになっている。
○ 「サイズを巨大化させたファイル」 Firefly
ファイルサイズ (数十~数百メガバイト) が極端に大きいことによる弊害が発生する。
- セキュリティソフトの開発元にウイルス検体ファイルを送信することが困難になる
- VirusTotal のようなウイルススキャンサービスにファイルを送信できなくなる
- 動作パフォーマンスに配慮してセキュリティソフトがファイルのスキャンをスキップする
○ 「パスワードで暗号化された圧縮アーカイブ」 Firefly
圧縮アーカイブの種類として、ファイルの拡張子 「.zip」 「.rar」 「.7z」 が採用される。
パスワードにより圧縮アーカイブ内のファイルが保護されている影響で、Windows ユーザーを保護する複数のセキュリテ機能をおおよそ迂回される。
パスワードにより圧縮アーカイブ内のファイルが保護されている影響で、Windows ユーザーを保護する複数のセキュリテ機能をおおよそ迂回される。
- オンラインストレージにマルウェアがアップロードされ放題になっている
- セキュリティソフトで圧縮アーカイブをスキャンしても 「無害」 と判定する
→ ユーザーは問題ない安全なファイルを入手したと確信して警戒心が消える
YouTube 乗っ取りマルウェアのやり方
YouTube チャンネルが乗っ取られる背景を知ると、YouTube のセキュリティ管理に何か問題があるように見えて実はそうではなく、マルウェアに感染する Windows ユーザーさんの尻拭いを Google がせざるを得なくなっている 現実です。 

Windows パソコン上で素性不明な実行ファイル (拡張子 「.exe」 「.scr」) を起動して、YouTube チャンネルの乗っ取りへ繋がるには…
〔1〕 マルウェアが情報窃取でYouTube 乗っ取り攻撃
① ユーザー名とパスワードを盗む
ブラウザに実装されている 「フォームの自動入力」 機能で保存させている ユーザー名 と パスワード を盗まれるパターンです。
ただ、攻撃者が Google アカウントに不正アクセスするには 2 段階認証を突破する必要があり、具体的に電話番号に宛てた確認コード (数字 6 桁) の入力が必要です。
② ブラウザの Cookie を盗む
Google アカウントにログイン済みのブラウザから、認証用の Cookie を盗まれるパターンです。
こちらは攻撃者が 2 段階認証を難なく突破して Google アカウントに不正アクセスする危険性があり、Google アカウントのユーザー名とパスワードを攻撃者が知っておく必要性もありません。
この 2 番目が Google の指摘した攻撃手法 「Cookie Theft」 です。
読み方 「くっきー・せふと」
theft の意味 「盗み」 「窃盗」
theft の意味 「盗み」 「窃盗」
【Windows ユーザーの Google アカウント認証作業】
<ログイン作業> ユーザー名とパスワードを入力済み
↓
<2 段階認証> 電話番号に宛てた確認コードを入力済み
↓
本人確認を無事に通過した Cookie が作成される
この Cookie を手中に収めた攻撃者は、<ログイン作業> と <2 段階認証> を行うことなく Google アカウントにアクセスする離れ技をやってのけます。
「Cookie Theft」 に有効な対策として、ブラウザは Google アカウントにログインしていない状態 (ログアウト) にしておくと回避できるものの、パスワードを毎回入力する手間暇が出てくるから現実的とは言えません。
- Google Chrome
- Microsoft Edge
- Mozilla Firefox
〔2〕 パソコン遠隔操作で YouTube 乗っ取り攻撃
2022 年 2 月あたり (?) から確認されている手口で、感染したマルウェアが被害者の Windows パソコンを遠隔操作して YouTube チャンネルに 「マルウェア感染動画」 をアップロードしていきます。
- YouTube チャンネルを運用するため Google が開発者向けに提供している YouTube Data API を悪用する
- Google アカウントのアクセス履歴に不正な接続が記録されない
→ 日本国外からの不正アクセスが存在せず、乗っ取られた Windows パソコンからの履歴だけが残る
YouTube 乗っ取りのセキュリティ対策トピックス
《1》
便利で 危険 な機能を気にせず活用していませんか?
パスワードなどをユーザーに代わって覚えておいてくれるブラウザの 「フォームの自動入力」 機能は、Windows パソコンがマルウェアに殺られた瞬間にぜんぶ盗まれうる潜在的なリスクです。 

《2》
用意周到な攻撃者は SNS のダイレクトメッセージ、あるいはEメールを介して英語で直接コンタクトを取ってきます。
次のような 「やり取り」 に応じてしまうと、無警戒なターゲット 1 人に対して パスワードで暗号化された圧縮アーカイブ (拡張子 「.zip」 「.rar」) を送信する奇襲攻撃が行われます。
〔YouTube 動画配信者〕
チャンネルの内容が優れていると英語で褒めて、商品を PR する企業案件やコラボ動画を提案する→ 「企画書」 「契約書」 「資料」 に偽装したファイルの正体がマルウェア
〔Discord ユーザー〕
(攻撃者が Discord のチャットを介して)
制作中のゲームのテストプレイをして欲しいと英語で依頼する
対戦型オンラインゲームを有利にするチートツールを配布する
ゲーム内の通貨やアイテムが無料で手に入る、ゲームの有料サービスが無料になる、などと称したプログラムを配布する→ 「ゲーム」 「チートツール」 などに偽装したファイルの正体がマルウェア
ダウンロードした圧縮アーカイブを展開 (解凍) した Windows ユーザーさんは、目の前に現れた 実行ファイル (拡張子 .exe) 、あるいは スクリーンセーバー (拡張子 .scr) を躊躇なくダブルクリックして開いて THE END です。
《3》
YouTube チャンネルを乗っ取られた Windows ユーザーさんで際立つ趣味の傾向が ゲーム です。
私利私欲に走りオンラインゲームのチート行為に手を染める一部のゲーマー (通称 「チーター」) が YouTube 経由でマルウェア RedLine Stealer を喰らう感染経路の紹介です。
[YouTube 乗っ取り なぜ] [YouTube 乗っ取り 確認方法] [YouTube 乗っ取り 目的] [YouTube アカウント 乗っ取り 対策] [YouTube 乗っ取り 対応] [YouTube 乗っ取り 理由] [YouTube 乗っ取り コメント] [YouTube 乗っ取り やり方] [YouTube ハッキングされた] [YouTube ハッキング 対策] [YouTube ハッキング 確認] [YouTube 不正アクセス 通知] [YouTuber 乗っ取り 被害] [Google アカウント 乗っ取り] [垢バン YouTube] [垢BAN YouTube] [YouTube 見ただけでウイルス] [YouTube 動画 ウイルス感染] [YouTube 視聴 ウイルス感染] [YouTube 危険] …
コメント