人気ユーチューバーのチャンネルをお気に入り登録していますか?もしかすると、まさにその人が差出人のメッセージがあなたの元に届くかもしれません。
メッセージの内容は、一読した感じでは素敵なお知らせです。あなたのお気に入りユーチューバーは、チャンネル登録していることや動画にコメントしたことを喜んでくれています。しかも、チャンネル登録者の中からあなたがランダムに選ばれ、懸賞に参加できたり、豪華賞品(新型iPhone Xやギフトカード)を受け取れたりするようです。
問題は、このメッセージが偽物だということです。これはYouTubeの利用者を狙った新たな詐欺のひとつで、YouTubeは有効な対策をまだ打ち出していません。
YouTube詐欺はいかにして行われるか
この詐欺の仕組みは比較的シンプルです。詐欺師はYouTubeアカウントを新規作成し、アバターと表示チャンネル名を有名ユーチューバーとまったく同じものにします。アカウント名に関係なく好きなチャンネル名を表示できるという、YouTubeの標準的な機能を悪用しているわけです。
こうして有名人になりすました詐欺師は、友達リクエストを一斉送信します。YouTubeでは、YouTube上の誰にでも友達リクエストを送信できます。偽アカウントへ何かコンテンツをアップロードして、もっともらしく見せる必要もありません。友達リクエストに含まれる情報は、チャンネル名とアバター画像だけですから。深く考えずにリクエストを受諾してしまうファンはたくさんいることでしょう。
最後のステップは、説得力のあるメッセージを作成して、友達になった人へ送ることです。
すでに、多くの著名なユーチューバーのなりすましが確認されています。ざっと挙げると、マーケス・ブラウンリー(Marques Brownlee)、フィリップ・デフランコ(Philip DeFranco)、ジェームス・チャールズ(James Charles)、ジェフリー・スター(Jeffree Star)、Unbox Therapyのルイス・ヒルセンテガー(Lewis Hilsenteger)、バッド・ベイビー(Bhad Bhabie)、クレイグ・トンプソン(Craig Thompson)、ComedyShortsGamerのデジ(Deji)、レイランド・アダムス(Ryland Adams)といった人たちです。
この詐欺の狙いは?
詐欺師は、簡単なフィッシングメッセージ1通で、個人情報を集めると同時にお金をいくらか稼ぐという一石二鳥を狙っています。このダイレクトメッセージには、「賞品を手に入れるため」としてリンクが貼り付けられています。
このリンクは、正規のWebページに見せかけた詐欺ページにつながっています。そのページに行ってしまうと、詳しい連絡先や個人情報を入力させられることになります(そして詐欺師の手に情報が渡ります)。しかしそれで終わりではありません。「私はロボットではありません」の証明を求められた後に、アンケートに答えるように促されます。もちろん偽のアンケートです。
アンケートに答えようとすると、別のサイトに飛び、そしてまた別のサイトへ…とたらい回しにされます。サイバー犯罪者たちはこのように、トラフィックを稼ぐことで報酬を得ているのです。クリックを誘って企業のWebサイトにアクセスさせることで、その企業から報酬を受け取る仕組みです。問題なのは、リンクをクリックするたびに、怪しげなサービスや商品を売りつけようとするサイトに行き着くリスクを犯すことだけではありません。ランサムウェアやバンキング型トロイの木馬などに感染してしまう可能性も高まります。
セキュリティリサーチャーの調査結果(英語記事)によると(この調査は問題の全容を明らかにするものではないとしていますが)、詐欺師らは数万人(それ以上の可能性も)のYouTube利用者をだまし、少なくとも偽のWebサイトに誘導するところまでは持っていったと見受けられます。
YouTubeフィッシングから身を守るには
- 友達リクエストやダイレクトメッセージが届いても、すぐに信用しないでください。まずは、本当の送信者が誰なのかを確認し、チャンネルに公式マークがついているかどうかを確かめましょう。少なくとも、メッセージの内容は批判的な目でチェックしてください。
- YouTubeのプラットフォームを通して受信したメッセージに載っているリンクからアクセスしたWebサイト上では、個人情報を入力しないでください。残念な話ですが、話がうますぎると思った場合、その勘はほぼ当たっています。
- 実績のあるセキュリティ製品を使用し、フィッシングページや悪意あるWebページに誘導するリンクをクリックしたとき警告が出るようにしておきましょう。