<真相>YouTube乗っ取り勝手に動画投稿はウイルス感染が原因

ユーチューバー狙うサイバー攻撃でマルウェア・コンピュータウイルス感染が原因でYouTubeチャンネルを乗っ取られる被害。企業案件を装う危険なフィッシング詐欺メールでハッキング目的とは。

詐欺師が Google アカウントに不正アクセスして YouTube チャンネルを乗っ取る目的とは?

2021年10月、Google のセキュリティエンジニア Ashley Shen 氏は、ユーチューバーを狙ったサイバー攻撃に注意を促す分析記事を公開した。

そこでは、YouTube チャンネルが第三者に乗っ取られる原因として、マルウェア (コンピュータウイルス) の感染 がキッカケになっていることを指摘している。

Windows パソコン × マルウェア感染

動画配信サイト YouTube に起こっているセキュリティ侵害の実態を日本語に翻訳して紹介する。

Cookie を盗むマルウェアを使い YouTube クリエイターを狙う詐欺

Google の Threat Analysis Group は、フェイク情報のキャンペーン、政府が支援するハッキング、金銭的な動機で不正な行為に関与する攻撃者を追跡しています。

2019 年後半以降、私たちのチームは、Cookie Theft マルウェアを使って金銭的な動機に基づいて YouTuber を狙うフィッシング詐欺のキャンペーンを妨害してきました。

このキャンペーンの背後にいる人物は、ロシア語圏のフォーラムで募集されたハッカー集団によるものと考えています。

偽りのコラボレーションの機会 (例として、ウイルス対策ソフト、VPN ソフト、音楽プレーヤー、写真編集アプリ、オンラインゲームのデモンストレーション) でターゲットを勧誘し、YouTube チャンネルを乗っ取った後、YouTube チャンネルを最高入札者に売却したり、仮想通貨詐欺のライブ配信に使います。

YouTube、Gmail、Trust & Safety、CyberCrime Investigation Group、セーフ ブラウジングの各チームの連携で、私たちの保護機能により関連した Gmail でのフィッシングメールを 2021 年 5 月から 99.6% 減少させることができました。

私たちは、ターゲットに対する 160 万通のメッセージをブロックし、Google セーフ ブラウジングによりフィッシングページに 6 万 2,000 回以上の警告を表示し、2,400 個のファイルをブロックし、4,000 件以上のアカウントの復元に成功しました。

検出活動の強化により、攻撃者は Gmail から他のEメールサービス (主に email.cz、seznam.cz、post.cz、aol.com) に移行していることを確認しています。

加えて、ユーザーを保護するため次の行為を FBI 連邦捜査局に照会して詳しく調査しています。


戦術・技術・手順

Cookie Theft は、「Pass-the-Cookie 攻撃」 とも呼ばれ、ブラウザに保存されているセッション Cookie を使ってユーザーのアカウントにアクセスするセッション・ハイジャックの手法です。

この手法は何十年も前から存在していますが、セキュリティリスクの上位として復活した理由は、多要素認証の普及により不正使用が難しくなり、攻撃者の関心がソーシャル・エンジニアリングの戦術に移行したためと思われます。


ソーシャル・エンジニアリングで YouTuber に広告案件オファー

YouTube クリエイターの多くは、ビジネスチャンスを手にするため、自分の YouTube チャンネルでEメールアドレスを提供しています。 (※1 下部に解説コメントあり)

この場合、攻撃者は既存の企業に成りすまし、動画広告のコラボレーションを依頼するビジネスメールを装って送信しました。 (※2 下部に解説コメントあり)

こんにちは、Jeff Tyler と申します。私は pixprotect の責任者の一人です。最近、当社は pixprotect というウイルス対策ソフトを開発しましたが、米国ではほとんど知られていません。さらに多くの人に知ってもらうため、優れた広告が必要です。貴殿は優れた内容の YouTube チャンネルをお持ちのようで、30 秒か 15 秒の短い映像を発注させていただきます。
私たちのサービスを広告でどのように見せたいか。 Firefly
・ プログラムを起動して登録作業を行う様子をデモンストレーションしてもらう必要があります。
・ その動画のサムネイルは専用のものでなければなりません。
・ 差し支えなければ、当社のウイルス対策ソフトの信頼性について教えてください。
協力してくれることを願っています。ありがとうございます。

このフィッシング詐欺は、通常、企業やその製品を紹介するEメールから始まります。

ターゲットが取引に応じると、ソフトウェアをダウンロードする URL と称してマルウェアの配布ページが記載されてある PDF 文書を Google ドライブ上に公開してEメールで連絡してきたり、稀なケースではフィッシングサイトのリンクが含まれてある Google ドキュメントを公開してEメールで連絡してきました。

約 15,000 の攻撃者のアカウントを確認しましたが、その大部分がこのキャンペーンのためだけに作成されたものでした。


Cookie 窃盗マルウェアの配信

ターゲットが偽のソフトウェアを実行すると、Cookie を盗むマルウェアが実行されて、被害者のパソコンからブラウザの Cookie を収集し、攻撃者の C&C (コマンド&コントロール) サーバに送信されます。

この手のマルウェアは、被害者のパソコン上で常駐して動くことができますが、この攻撃者たちはすべてのマルウェアを常駐しないモードで動作させます。

セキュリティ製品が悪意のあるファイルの実行時に検出できなかった場合、感染した端末での痕跡が少なくなるので、過去に侵害されていた事実をセキュリティ製品はユーザーに報告できなくなります。 無題な濃いログ

攻撃者は個人的な好みで様々な種類のマルウェアを使っていることを確認していますが、そのほとんどは GitHub で簡単に入手できます。

使われていた多用途型のマルウェアは 「RedLine Stealer」、「Vidar」、「Predator the Thief」、「Nexus Stealer」、「AZORult」、「Raccoon Stealer」、「GrandSteal」、「VikroStealer」、「Masad」 (Google が命名)、「Vidar」 とコードが類似している 「Kantal」 (Google が命名) などです。 Firefly

また、「SoranoStealer」、「Adamantium-Thief」 といったオープンソースのマルウェアも確認しています。 (※訳注: いずれも Windows 向けのマルウェアで、mac.OS、Android、iPhone 環境では動作せず影響なし)

観測したマルウェアのほとんどは、ユーザーのパスワードと Cookie の両方を盗むことができます。

いくつかのサンプルは、サイズを巨大化させたファイル、パスワードで暗号化された圧縮ファイル、ダウンロードの IP クローキングといった、一部のサンドボックスを回避する技術が採用されていました。 (※3 下部に解説コメントあり)

動作を継続させるため、偽のエラーメッセージを表示してユーザーにクリックを要求するマルウェアもわずかに観測しました。

The application was unable to start correctly (0xc00007b). Click OK to close the application.


仮想通貨詐欺と YouTube チャンネルの販売

乗っ取られた大量の YouTube チャンネルは、仮想通貨に関連する詐欺のライブ配信 用に再構築されました。

チャンネル名、プロフィール写真、コンテンツはすべて仮想通貨のブランドに置き換えられ、大手のテック企業や仮想通貨取引所に成りすましました。 Firefly

攻撃者は、最初の送金と引き換えに仮想通貨の Giveaway (無料プレゼント) を約束する動画をライブ配信していました。

YouTube チャンネルのアカウントを取引するマーケットでは、乗っ取られた YouTube チャンネルが登録者数に応じて 3 ドル ~ 4,000 ドルの範囲になっていました。 (※訳注: 日本円で約 350 円 ~ 46 万円)


攻撃からユーザーを保護する

私たちはこのような脅威を検知する方法を継続的に改善し、自動的に識別して阻止する新しいツールや機能に投資をしています。

改善点の一部を紹介します。

  • フィッシング詐欺メール やソーシャル・エンジニアリングのEメール、Cookie Theft の乗っ取り、仮想通貨の詐欺のライブ配信を検知して阻止する経験則に基づいたルールを追加しました。

  • Google セーフブラウジングは、マルウェアの配布ページやダウンロードの検出と阻止をさらに強化しました。

  • YouTube はチャンネルを移行する手続きを強化し、乗っ取られた YouTube チャンネルの 99% 以上を検出して自動的に回復します。 Firefly

  • アカウントのセキュリティは認証の手続きを強化し、不自然な可能性のある挙動を阻止してユーザーに通知します。

また、このような脅威を認識して、適切な行動で身を守ることが重要です。私たちの提案です。

  • Google セーフブラウジングの警告を真剣に受け止めること。ウイルス対策ソフトでマルウェアが検出されることを回避するため、攻撃者はユーザーに警告を無効化したり無視するよう誘惑します。

  • ソフトウェアを実行する前に、ウイルス対策ソフトや VirusTotal のようなオンラインのウイルススキャンツールを使ってウイルススキャンを行い、ファイルの正当性を確認します。 Firefly

  • Google Chrome ブラウザの 「セーフブラウジング 保護強化機能」 モードは、疑わしい可能性のあるウェブページやファイルに対する警告を向上させる機能です。

  • パスワードで暗号化された圧縮ファイル は、ウイルス対策ソフトのファイルスキャンから検出を回避して、悪意のあるファイルを実行する危険性が高まることが多く、注意が必要です。 (※4 下部に解説コメントあり)

  • パスワードが盗まれた場合に備えて、2 段階認証 (多要素認証) でアカウントを保護します。

2021年11月より、収益化している YouTube クリエイターは、YouTube Studio あるいは YouTube Studio コンテンツ マネージャーにアクセスするため、YouTube チャンネルで使用している Google アカウントで 2 段階認証を有効にする必要があります。

【出典: Google の分析記事】
Phishing campaign targets YouTube creators with cookie theft malware (Cookie を盗むマルウェアを使い YouTube クリエイターを狙うフィッシング詐欺のキャンペーン)

YouTube 乗っ取りの目的と原因の解説

外部窓口から詐欺師が仕掛けるサイバー攻撃は やり取り型 と呼ばれています。

組織外部向け窓口部門の方へ 「やり取り型」 攻撃に対する注意喚起 (IPA 情報処理推進機構)
https://www.ipa.go.jp/security/topics/alert20141121.html

「やり取り型」 攻撃とは、一般の問い合わせ等を装った無害な 「偵察」 メールの後、ウイルス付きのメールが送られてくるという、標的型サイバー攻撃の手口の一つです。

攻撃者からのメールは、その内容を確認したり、返信せざるをえない外部向け窓口部門等に対して送られてきます。

メールの受信者が攻撃者からのメールに返信すると、辻褄の合う会話とともに、ウイルスの形態を執拗に変化させながら、なんとかして添付ファイル (ウイルス) を開かせ、受信者のパソコンへウイルスを感染させようと試みてくることが特徴です。

攻撃者がパスワード付き圧縮ファイルを使うのは、メールサーバでのウイルスチェックを回避するためだと思われます。また、標的型サイバー攻撃全般に共通して言えることですが、ウイルスのファイルは、ウイルス対策ソフトで検知されにくいように細工されています。このため、ウイルスが窓口部門の担当者の手元まで届いてしまう可能性が高くなっています。


【1】 「YouTube チャンネルでEメールアドレスを提供」

ハッキングが生業の詐欺師は、ターゲットの Eメールアドレス宛て に連絡を寄越してくることが判明しています。

そのEメールアドレスを詐欺師はどこから入手してくるかというと、YouTube チャンネルの概要に表示される 「ビジネス関係のお問い合わせ」 という項目です。

YouTubeビジネス関係のお問い合わせ
YouTuber にフィッシングメールを送信する宛て先!

YouTube クリエーターがチャンネルのカスタマイズで設定する
https://support.google.com/youtube/answer/57955?hl=ja

連絡先情報: あなたのビジネスに関する問い合わせ先を記載してください。入力したメールアドレスは、チャンネルの [概要] セクションに表示され、視聴者が閲覧できます。

手広く活動している YouTuber に対し、企業の関係者を名乗って成りすました詐欺師が旨い話を餌にフィッシング詐欺を仕掛ける入り口 が YouTube チャンネルに用意されている事実は知っておくべきでしょう。


【2】 「動画広告のコラボレーションを依頼するビジネスメール」

YouTuber の YouTube チャンネルがハッキングされる直前に展開されていた詐欺師との 「やり取り」 の例です。

YouTube 動画配信者がウイルス感染するキッカケ
Eメールでフィッシング攻撃手口 1
実在する海外企業の関係者に成りすました詐欺師が ――
YouTube チャンネルの内容が優れていると褒めて、商品を紹介するレビュー動画の制作を依頼したり、ソフトウェアやゲームを宣伝する広告映像を動画に挿入する企業案件を提案する。応じたターゲットに 「契約書」 「企画書」 「資料」 「宣伝 PR してもらうソフトウェア」 と称してコンピュータウイルスをダウンロードさせる。
Eメールでフィッシング攻撃手口 2
YouTube の運営スタッフに成りすました詐欺師が ――
投稿されている動画が著作権を侵害しているという嘘の警告通知を送信する。すぐに対応しないと YouTube チャンネルを凍結することを示唆して、「権利侵害の報告書」 と称してコンピュータウイルスをダウンロードさせる。


【3】 「サイズを巨大化させたファイル」 Firefly

サイバー攻撃でダウンロードさせるマルウェア (コンピュータウイルス) の ファイルサイズが極端に大きい 傾向が見られます。

数百メガバイト
具体的に 700 MB 以上が多い?

  • セキュリティソフト開発元にウイルス検体ファイルを送信することが困難になる
    → 利用者が多いであろうセキュリティソフト Microsoft Defender の検出を回避される

  • ファイル単体のウイルススキャンができる無料サービスに巨大なファイルを送信できなくなる
    └ 代表的なサービスが Google inc. の運営する VirusTotal

  • 動作パフォーマンスの遅延に配慮して、セキュリティソフトが巨大なファイルのスキャンをスキップする

あらかめじ脅威を警告できるチャンスが詐欺師によって潰されているので、対応が後手に回るセキュリティソフトが何も警告しないことで、無警戒な Windows ユーザーさんは不正なファイルを開く確率が増加します。


【4】 「パスワードで暗号化された圧縮ファイル」 Firefly

圧縮ファイルの拡張子として目にする機会が多い形式がこちらです。

  • .zip
  • .rar

もし、この圧縮ファイルが パスワード で保護されていると厄介です。

というのも、パスワード付きの圧縮ファイルをセキュリティソフトでスキャンしても 「無害」 と判定 するトラップが発動するためです。

その後、圧縮ファイルを展開 (解凍) すると中から危険物が登場するものの、ファイルの種類は 「文書」 「動画」 「プログラム」 であると思い込まされていると、狙われたユーザーは勢いよくダブルクリックして開く悲劇が待っています。

  • Windows 実行ファイル .exe
  • Windows スクリーンセーバー .scr


【PR】 Amazon.co.jp | 通販 - ファッション、家電から食品まで【通常配送無料】


タグ :
#RedLineStealer