ITmedia NEWS > STUDIO >
速報
» 2021年10月21日 11時16分 公開

YouTubeチャンネルを乗っ取るフィッシング攻撃についてGoogleが警告

Googleは傘下のYouTubeで後をたたない金銭目的のフィッシング攻撃について説明し、YouTuberに対策を勧めた。11月1日からYouTube Studioにアクセスするには2段階認証が必要になる。

[ITmedia]

 米Googleは10月20日(現地時間)、傘下のYouTubeでYouTuberを標的とする金銭目的のフィッシング攻撃についての対策などについて説明した。この攻撃は2019年後半から始まっており、攻撃者は「ロシア語を使うフォーラムで募集されたハッカーグループ」だとしている。

 手口は、YouTuberが自分のチャンネルで公開しているメールアドレス宛に動画広告コラボの相談などのフィッシングメールを送って偽の企業サイトに誘導し、信用させてマルウェア入りのデータをダウンロードさせるというもの。

 誘導先のWebサイトはSteam上のゲームや新型コロナ関連ニュースサイトなど、本物と見紛うものが多いという。

 site フィッシング用に作られたニュースサイト

 中には信用させるために既存の公式アカウントによく似せた偽Instagramアカウントへ誘導するものもあった。

 instagram 左が本物

 攻撃者は乗っ取りに成功すると、そのチャンネルを例えば暗号通貨詐欺のライブストリーミング用にブランド名を変更し、大手暗号通貨取引所などになりすまして景品を宣伝するライブストリーミングを行った。

 Googleはこれまで、Gmail上の関連するフィッシングメールの量を2021年5月から99.6%削減したという。

 だが、Gmailでの検出が厳格になるにつれ、攻撃者は他のメールプロバイダー(email.cz、aol.comなど)に移行している。

 同社はYouTuerに対し、以下の対策を心がけるよう呼び掛けた。

  • セーフブラウジングの警告を真剣に受け止める
  • 知らないソフトをダウンロードしたら起動する前にウイルススキャンを実行する
  • Chromeブラウザのセーフブラウジング設定で「保護強化機能」モードを選択する
  • 暗号化されたアーカイブに注意する。こうしたデータはウイルススキャンをすりぬけることが多い
  • 多要素認証でアカウントを保護する

 なお、YouTubeで収益を得ているクリエイターは、11月1日以降はYouTube StudioおよびYouTube Studio Content ManagerにアクセスするためにはGoogleアカウントで2段階認証プロセスを有効にする必要がある。

Copyright © ITmedia, Inc. All Rights Reserved.