人気YouTubeチャンネルから拡散するマルウェア

2022年10月、カスペルスキーの調査チームは、OnionPoison（オニオン・ポイズン）と呼ばれる攻撃活動に関する詳細な レポート （英語ページ）を公開しました。それによりますと、人気YouTubeチャンネルに投稿されたダークネットに関する動画の説明欄に、悪意のあるTorブラウザー（英語ページ、別名オニオンブラウザ）へのリンクが張られ、マルウェアが拡散されていました。

Torブラウザーとは、The Onion Routeの略語で、Firefoxブラウザーに修正を加えたもので、これを使うと匿名でウェブサイトを閲覧することができます。この特殊なブラウザーの主な機能は、すべてのユーザーデータをリダイレクトするという点です。データは、複数のサーバーの層（これが、名前に「onion」が入っている理由）を通ることから、暗号化された形で送信されます。ネットワーク内の複数のユーザーと接続を共有するため、それぞれのデータが混じり合っている状態になります。そのため、誰がどこからどのような情報にアクセスしているのかなどの情報は隠された状態になり、個々のプライバシーが確保されます。ウェブサイトは、Torネットワークの最後のサーバーである出口ノードのIPアドレスしか確認できないようになっており、ユーザーのIPアドレスは他人に知られることはありません。

Torブラウザーの機能は他にもあります。Torネットワークを使って、特定の国や地域の検閲規制をすり抜けることができます。例えば、中国国内では、様々な海外メディアやSNS、非営利団体のウェブサイト、クラウドストーレージなどがブロックされています。そのため、ユーザーはTorブラウザを使って匿名性を確保した形で、それらのリソースにアクセスすることが可能です。Googleのサービス、YouTubeも通常、中国国内では利用することができません。そのため、攻撃活動OnionPoisonは、そういった規制を回避する手段を模索している人たちを標的にしています。マルウェアが拡散された方法は他にもあり、YouTube以外のウェブサイトにも同じような悪意のあるリンクが貼られているのが確認されています

Torブラウザーは通常、公式ウェブサイトからダウンロードすることができますが、中国国内では、そのウェブサイトがブロックされているため、多くのユーザーは非正規の第三者のウェブサイトからダウンロードを試みます。問題となったYouTubeの動画内では、Torブラウザを使ってオンライン上のアクティビティを隠す方法が説明され、概要欄に正規のものではないTorブラウザーインストーラーへのリンクが貼られていました。そのリンク先は、中国のクラウドファイルホスティングサービスとなっていましたが、実際は悪意のある、OnionPoisonスパイウェアに感染しているリンクでした。そのTorブラウザーを使うと、閲覧履歴や入力する情報など、すべてのデータが保存され、個人データが収集されてしまうようになっています。

スクリーンショット：動画の説明欄に悪意のあるTorブラウザーインストーラーへのリンク出典

収集された個人データ

マルウェアを含むTorブラウザーのバージョンには、デジタル署名がありません。セキュリティに詳しい人にとって、これは危険信号です。そのようなプログラムをインストールする際、Windowsのオペレーティングシステムは、必ず警告を表示します。正規のTorブラウザーにはデジタル署名が含まれています。しかし、このデジタル署名の有無については注意していないと見逃してしまう可能性もあります。

偽のTorブラウザーと正規のTorブラウザーを比べると、重要な設定の一部が変更されています。悪意のあるバージョンは、ブラウザー履歴を保存し、閲覧したサイトの履歴を保管し、ログインや認証情報、フォームに入力したすべてのデータを自動で保存するようになっています。そのため、大切な個人情報やデータなど、全てがサイバー攻撃者に盗まれている状態で、その情報を利用してユーザーを脅迫する事態も発生しています。

非正規Torブラウザーのダウンロードページ 出典

このブラウザーでは、Tor/Firefoxの主要ライブラリは、悪意のあるコードに置き換えられていました。これは、必要に応じて正規のライブラリを呼び出し、ユーザーにそのブラウザーを使用させます。さらに、その際、C2サーバーへの通信が発生し、そこから他の悪意のあるプログラムがダウンロード、実行されるように仕組まれています。攻撃のこの２段階目は、中国国内のIPアドレスのみが標的にされています。結果、ユーザーに関する情報が、攻撃者側に渡ってしまいます。盗まれる情報は、下記のとおりです。

• パソコンやインスト－ルされているプログラムに関するデータ
• 閲覧履歴（Torブラウザーの閲覧履歴だけでなく、Google ChromeやMicrosoft Edgeなどシステムにインストールされているその他のブラウザーの閲覧履歴も含む）
• 接続されているWi-FiネットワークのID
• 中国の人気メッセンジャーQQやWeChatのアカウント情報

このような詳細は、特定のユーザーとあらゆるオンラインアクティビティを結びつけるのに使われる可能性があります。Wi-Fiネットワークデータにより、ユーザーの場所が正確に設定されることさえあります。

プライバシーリスク

この攻撃活動がOnionPoisonと呼ばれるのは、The Onion Routerソフトウェアが本来提供するはずのプライバシーを「毒殺」するからです。この種のマルウェアは、ユーザーのパスワードを盗むようなことはせず、ユーザーがパソコンでしていることをすべて監視するようになっています。

通信を暗号化するなどプライバシー保護を重視するのであれば、正規のVPNアプリをダウンロードすれば十分で、Torブラウザーを使用する必要はないでしょう。ただ、OnionPoisonの調査から学ぶ教訓は２つあります。まず第一に、ソフトウェアは正規のウェブサイトからのみダウンロードすることです。正規のものかどうか信頼性を確かめたいという方は、チェックサムを利用してください。これは、正規のプログラムインストーラーのIDのようなもので、ダウンロードした配布物のチェックサムを計算し、元のソフトウェアのチェックサムと一致するかどうかで、通信途中でファイルが改ざんされていないか確認することができます。

OnionPoisonの場合、公式のウェブサイトがブロックされているがために、ユーザーは正規ではないところからTorブラウザーをダウンロードしていました。この特殊な状況においては、チェックサムによる検証という方法が効果的です。ただ、このソフトウェアには、デジタル署名がないという事前の危険信号もありました。もし、Windowsがそのような警告を表示したら、プログラムを実行する前に一度立ち止まってチェックするとよいでしょう。実行ボタンはクリックしないでください。

OnionPoison C＆Cサーバーでホストされたサイトは、本物のサイト（www.torproject.org）と似た見た目をしています。 出典

そして、2つ目の教訓は、決してYouTubeの概要欄にあるリンクからソフトウェアなどをダウンロードしないということです。今回確認されたOnionPoisonは、中国国内のユーザーが標的にされたため、他の国や地域に住んでいれば安心だと思われる方もいるでしょう。しかし、実際には、SNSを介して、ユーザーが油断している隙を狙う攻撃は他にもあります。当社が公開した報告書には、サイバー犯罪者がゲーマーのデバイスを感染させ、データを盗む手口が解説されています（英語記事）。この場合も攻撃者は、YouTubeを使って、マルウェアを拡散しました。さらに驚くことに、被害者となったユーザーのYouTubeチャンネルにも不正にアクセスし、同一の悪意のあるリンクを含む動画コンテンツを投稿していたといいます。

犯罪グループがYouTubeへの投稿動画を使って攻撃しているのは、検索結果で動画を優先させる運営側の方針にも起因しています。この種の攻撃は、人々が普段から慣れ親しんでいるYouTubeのようなリソースが犯罪者によって悪用されるという一例です。本物のリンクと悪意のあるリンクを常に見抜けるとは限りません。私たちのデジタル生活にはこのようなリスクが潜んでいることから、高品質のセキュリティソリューションを導入することを推奨します。個人がオンライン上で注意しているにもかかわらず、無意識に誤った行動をしてしまったとしても、セキュリティソフトウェアがあれば、適宜、ソフトウェアが脅威を識別し、ブロックしてくれます。