超人気YouTubeチャンネルを乗っ取り　ハッカーの手法

数か月前、世界で最も有名なテック系YouTubeチャンネルの一つ、Linus Tech（ライナス・テック）が、ハッキングの被害に遭いました。彼は3つのYouTubeチャンネルを運営し、一番人気のチャンネルは登録者数1500万人を超えています。そんな彼の3つのチャンネルすべてが、サイバー犯罪者に乗っ取られ、仮想通貨詐欺の広告が配信されました。ハッカーは、どうやって彼のチャンネルにアクセスしたのでしょうか。大物ブロガーの彼は、強力なパスワードや２要素認証でアカウントを保護していなかったのでしょうか。クリエーター本人は、当然対策を行っていたと述べています。

Linus Techは、パス・ザ・クッキー（pass-the-cookie）と呼ばれる攻撃の被害に遭いました。この手法は、YouTubeのクリエーターが狙われるときによく使われます。この記事では、このような攻撃の目的と動機、そしてハッカーたちがパスワードや2つ目の認証要素を知らずにチャンネルにアクセスできる方法、Googleの対応、こういった攻撃の被害者にならないための対策について解説します。

YouTubeチャンネルが狙われる理由

よく知られているYouTubeのチャンネルが乗っ取られる場合、通常、攻撃者はチャンネルの返却と引き換えに身代金を要求するか、視聴者を利用することが目的です（Linus Techの場合は後者です）。後者の場合、攻撃者はチャンネルをハッキングした後、名前やプロフィール画像、コンテンツを変更します。

例えば、 PC やガジェットなど最新テクノロジーにまつわるニュースを配信するチャンネルに代わって、Teslaなどの大企業のアカウントを模したチャンネルが登場し、プロフィール画像にもそれらしいものが設定されます。そのうえで、攻撃者たちはそのチャンネルを使って、イーロン・マスク氏が仮想通貨について持論を語っている動画を配信します。たいていの場合、ほかのブログコンテンツはすべて削除されます。

ハッキングされたチャンネルで配信されるイーロン・マスク氏の動画。出典]

同時に、「独自の仮想通貨プロモーション」を行うサイトへのリンクがチャットに張り付けられます。一つの例を挙げると、イーロン・マスク氏自身が仮想通貨を配っていると謳うものです。ユーザーがその仮想通貨を受け取るには、まず指定のウォレットにユーザー自身のコインを送金する必要があり、送金後に、その倍額を受け取れるという話の流れになっています。

動画の視聴者を引っかけるための偽サイト。出典

興味深いことに、詐欺師たちは、配信を開始する前にチャットに制限をかけていました。メッセージを送信できるユーザーをそのチャンネルの登録期間が15年ないし20年以上のユーザーに限定しています（その頃にはこのチャンネルは存在していなかったどころか、YouTubeの登場自体が2005年だったというのに）。

私たちはこういった手法が使われた典型的な詐欺について、これまでに一度ないし二度、確認しています。

動画の視聴者を引っかけるための偽サイト。出典]

そのような被害に遭うと、動画はすぐに「YouTubeコミュニティガイドライン違反」とみなされ、運営側にブロックされます。被害に遭ったテック系クリエーターのチャンネルも停止されました。その後クリエーターは、チャンネルを復旧するための作業に追われました。プラットフォームに対して、偽サイトへのリンクを拡散し、詐欺広告を配信したのは自分ではないということを証明しなければなりません。

登録者数1,500万人のLinus Techの場合は、運よく数時間のうちにチャンネルが復旧しました。しかし、その日の収益は失われました。視聴者数がそれほど多くないチャンネルであれば、復旧までにどれだけ時間がかかるか、そもそも復旧が可能かどうかも不透明です。

チャンネルの乗っ取りにパスワードは不要

攻撃者がYouTubeチャンネルを乗っ取るのに、認証情報を盗む必要はありません。セッショントークンを手に入れるだけで十分です。どういうことなのか、順を追って説明しましょう。

一般的に、YouTubeチャンネルに対する攻撃は、クリエーターへの一通のメールから始まります。VPNサービスやゲーム開発会社、ウイルス対策ソフトの販売会社など、一見したところ本物らしい企業を装ってコラボレーション依頼のメールを標的に送りつけます。メールには疑わしいところはないため、クリエーター側は、プロダクトプレイスメントの金額などの詳細を記載した通常のメッセージで返信します。

危険なのは、その次にやってくるメールです。そのメールでは、契約書が含まれたアーカイブ、またはそれをダウンロードするためのクラウドサービスへのリンクと、アーカイブに設定されたパスワードが送られてきます。より説得力を持たせるために、そのクリエーターに「プロモーション」してもらいたい商品に関連するウェブサイトへのリンクやSNSアカウントが記載されていることも少なくありません。リンク先は、本物の企業のサイトの場合も、偽装ページの場合もあります。

「契約書」が格納されたアーカイブのダウンロードリンクが記載されたメール。出典

クリエーター本人またはスタッフが知らずにそのアーカイブを展開すると、通常のWordファイルまたはPDFファイルらしきドキュメントが1つまたは複数入っていることに気づきます。不自然な点は、どのファイルもサイズが極めて大きい（700MB超）ことです。そのため、VirusTotalなどのサービスを使ってスキャンして脅威の有無を確認することができません。多くのセキュリティソリューションを使っても、同じ理由で処理がスキップされます。実行可能ファイルを分析するための専用ツールでファイルを開くと、膨大な量の空白が含まれていることがわかります。ドキュメントのサイズが大きくなっているのはこのためです。

無害な契約書のように見えるファイルの中にはもちろん、大量のマルウェアが隠されています。Googleはこの問題を認識し、攻撃の分析を行って、使用されているさまざまな種類のマルウェアを特定しています。その中にRedLine Stealerというトロイの木馬も含まれていました。最近、多くのクリエーターが自分たちの災難の元凶と非難しているのがこのマルウェアです。

攻撃者は、このマルウェアを使って、被害者のブラウザーからセッショントークンを盗み出すという重要な目的を達成します。ブラウザーが、セッショントークンまたはCookieを使用すればユーザー情報を「記憶」することになり、ユーザーは、毎回パスワードと2つ目の認証要素を使って認証する必要がなくなります。つまり、サイバー犯罪者は盗んだトークンを使えば認証済みの被害者になりすますことができ、認証情報がなくてもアカウントにログインすることができるということです。

Googleの対応

Googleは、2019年にはこの問題を認識していました。2021年には、「Phishing campaign targets YouTube creators with cookie theft malware（YouTubeクリエイターを標的とした、Cookie窃取のマルウェアを使用するフィッシングキャンペーンについて）」（英語）というタイトルの重要な調査報告書を公開しています。GoogleのThreat Analysis Groupがこのような攻撃で使用されたソーシャルエンジニアリングの手法とマルウェアを調査しました。

この調査報告書に続いて、Googleはユーザーを保護するためにさまざまな手段を講じたことを発表しました。

• フィッシングおよびソーシャルエンジニアリングのメール、Cookie窃取による乗っ取り、仮想通貨詐欺のライブ配信を特定し、防止することを目的として追加のヒューリスティックガイドラインが導入されています。
• セーフブラウジングの機能が強化され、悪意のあるウェブページやダウンロードを特定し、ブロックする機能が追加されています。
• YouTubeでは、チャンネルの移行に関連するプロセスを強化して、セキュリティ侵害を受けたチャンネルの99%以上を正しく検出し、自動的に復旧させています。
• アカウントのセキュリティについては、潜在的なリスクのあるアクティビティを防止し、ユーザーに警告するよう、認証の処理が強化されています。

これらの対策で成果は上がっているのでしょうか。YouTubeクリエーターたちのコメントや頻繁にハッキング被害が発生し続けている事実から判断すれば、結果は芳しくないと言えるでしょう（この記事の執筆時点で、明らかに乗っ取られたと思われる3つのチャンネルでイーロン・マスク氏の動画が配信されているのを私自身が確認しています）。前述のLinus Techは、チャンネル名やプロフィール画像を変更する際も、チャンネルのすべての動画を削除する際も、パスワードや２要素認証の2つ目のコードの入力をYouTubeがユーザーに求めていないと憤慨しています。

YouTubeチャンネルを保護するには

自分のチャンネルを奪われないようにするには、さまざまな予防策を講じておくのが賢明です。まず第一に、仕事用のすべてのデバイスに信頼できる保護機能をインストールし、チームでサイバーセキュリティに関する研修を定期的に行います。ビジネスアカウントにアクセスする全員に次のことが求められます。

• 典型的なフィッシングの兆候を知っている
• ソーシャルエンジニアリング手法に気付くことができる
• 疑わしいリンクは決して開かない
• 信頼できない送信元からのアーカイブされた添付ファイルを開いたりダウンロードしたりしない