YouTuberを襲うサイバー攻撃が進行中、二段階認証も突破される新手口とは(2/2 ページ)
YouTuberを狙ったフィッシング攻撃が、2019年9月ごろから発生している。Googleアカウントには二段階認証があるにもかかわらず、アカウントが乗っ取られてしまっているという。なぜYouTuberが狙われるのか、どのような手法なのかを、ホワイトハッカーがまとめた。
まず、攻撃者は先述のようにフィッシングサイトへのリンクを含んだメールをYouTubeのアカウントを持っている人に送りつけます。攻撃者がどのようにしてYouTubeに登録している人のメールアドレスを入手したかは不明ですが、YouTuberが連絡先を公開していることも多く、そこから1つずつ収集した可能性はあります。
フィッシングメールを受信した人がリンクをクリックし偽サイトにログインします。このとき、偽サイトは入力された情報を基に実際にGoogleにログインを試みます。ログインの1段階目が成功すると二段階認証が本来のユーザーに要求されるので、それを入力するようユーザーに求めます。被害者が入力すると、2段階目のログインが成功します。
リアルタイムでサービスにログインし、必要な情報の入力を被害者に行わせることで、二段階認証の突破が可能となってしまうということです。
ログインに成功すると、攻撃者は自分の用意したGoogleアカウントをYouTubeチャンネルのオーナー(最上位の管理者権限)に招待。承認後、元のオーナーの権限をはく奪します(この手続きは、あらかじめそのようにプログラムされていると考えるのが自然でしょう)。さらに元オーナーのアカウントを削除することで乗っ取りは完了です。
不正ログイン以降の手続きはYouTubeのチャンネル譲渡機能として正当な手続きであり、不正ログインを許してしまうだけでこれまで築き上げてきたものを全て乗っ取られてしまうということです。
こうしてチャンネルの乗っ取りに成功した後は、攻撃者はコンテンツを違法にアップロードしています。
攻撃者の目的は何なのか?
では、攻撃者が何を目的にこのような乗っ取り行為を行っているか考えてみます。攻撃者はチャンネルの乗っ取り後、著作物をアップロードしているのは先述のとおりですが、これは人気の著作物で再生数を増やした後、攻撃者のGoogleアカウントにリンクした支払先情報で収益を受け取っているものと考えられます。
YouTubeで収益化を行うには条件があり、それをクリアする必要があるため、単にYouTubeチャンネルを開いて違法アップロードをするだけでは収益を得られません。攻撃者がYouTuberを狙うのはこれが理由とみられます。つまり、収益化済みのチャンネルを奪えば収益化条件を一足飛びにして、違法動画から収益を得ることが可能になるということです。
しかし、攻撃者が乗っ取ったチャンネルには元のYouTuberの視聴者がいるわけで、視聴者らが通報することでGoogleアカウントが停止される可能性を考えれば、収益の受け取りは簡単ではないように思われます。それにしても昨年9月からこの攻撃が続いていることを考えると、攻撃者はある程度の成果を上げているのかもしれません。
被害に遭わないためにどうするべきか?
二段階認証を突破するフィッシングサイトは、従来のフィッシングにとって代わる存在になると予想されます。これを防ぐにはどのような手段が有効でしょうか。
(1)ドメインを確認する
普段から自分が利用しているサイトのドメイン(google.com、yahoo.co.jpなど)を覚えておいて、メールの送信元やリンク先にそのドメインが使われているかを確認しましょう。今回のフィッシングで送られているメールの発信元は「amazonses.com」などと、正しいものではありません。
(2)メールのリンクをクリックしてログインしない
フィッシングの入り口は多くがメールです。メールで届いたリンクからログインするという流れに乗らなければ、被害に遭うのを回避できます。メールを経由せずにWebサイトにログインしてマイページなどを確認すれば、本当に何か問題が発生しているのなら何らかの通知を確認できるはずです。
(3)メールのタイトルで検索してみる
ほとんどの場合、攻撃者は一人だけを狙うことはありません。成功確率を高めるため多くの人にフィッシングメールを送ります。そうすると「これはフィッシングメールだ」と気付いた人がネット上に報告している場合があります。タイトルや文面をTwitterや検索エンジンで調べてみるとヒットするかもしれません。
(4)待ってみる
それでも判断が難しければ、そのメールを2〜3日放置してみましょう。Googleなどさまざまなサービスはリンクが安全かそうでないかを常にチェックしており、ブラウザで開いた際にもしメール内のリンクがブラックリストに入っていれば閲覧をブロックします。リストに入るまでに時間を要するので待つ必要があるということです。ただ、すべての詐欺サイトがリストに入るわけではないことには留意しておく必要もあります。
(5)サービスが提供しているセキュリティ診断ツールを利用する
Googleではアカウントのセキュリティを高めるためのガイドや診断ツールを提供しています。これらを参考にしてアカウントの保護に努めましょう。
先述の舞鶴よかとさんのYouTubeチャンネルは19年11月に、Googleアカウントは20年1月に復旧しましたが、事件が起きた9月からの期間を考えると、復旧までに約5カ月もの長い期間を要しています。
これほど長い期間チャンネルが停止されることは、YouTubeで収益を得ている人たちにとっては大きな打撃となり得ます。話を聞く限り、YouTubeの日本語サポート担当は迅速な対応を行っているようですが、これだけ対応に時間がかかることも考えると、自分の身は自分で守るという姿勢が重要だと思います。
関連記事
- コインチェック盗難NEM、匿名コイン「DASH」で資金洗浄か ダークウェブで交換持ちかけも
コインチェックから約580億円分の仮想通貨「NEM」を持ち出した犯人は、匿名の仮想通貨「DASH」と匿名ネットワークで資金洗浄を企てているようだ。 - ダークウェブ界の大物、痛恨のミス 見えてきた“正体”
ダークウェブを調査するホワイトハッカーが、世界最大のダークウェブマーケットであるDream Marketの管理人の素性に迫る。 - 知られざる「ダークウェブ」の世界 ネットの“裏”で何が起きている?
ダークウェブでは実際に何が起きているのか。調査を行っている人物に解説してもらった。 - 「過去最悪の水準」 ネットバンク不正送金、急増の理由 破られた“多要素認証の壁”
2019年9月からネットバンキングでの不正送金による被害が急増している。その背景には、多要素認証を迂回する手段が登場したことが挙げられるという。
Copyright © ITmedia, Inc. All Rights Reserved.