人気YouTubeチャンネルを次々に乗っ取り、ハッカーたちの「ありふれた手口」

人気のYouTubeチャンネルが乗っ取られる被害が、過去数年で数千件にも達するなど多発している。仮想通貨に関連した詐欺への悪用やアカウントの転売がハッカーたちの主な目的だが、その乗っ取りの手口はユーチューバーへの1本のメールから始まる単純なものだ。

TEXT BY LILY HAY NEWMAN

WIRED(US)

人気のYouTubeチャンネルがハッカーによって乗っ取られる事件が、遅くとも2019年以降に多発していることが明らかになった。乗っ取りに成功した犯人は、これらのYouTubeチャンネルを仮想通貨(暗号通貨、暗号資産)絡みの詐欺に利用したり、アカウントを売りさばいたりしている。

こうしたなかグーグルは、雇われハッカーが過去わずか数年間で、数千人のユーチューバーのアカウントの乗っ取りに利用した手法を詳細に公表した。

仮想通貨に関連した詐欺やアカウントの乗っ取り自体は、必ずしも稀なことではない。大規模な混乱を巻き起こした事例としては、2020年秋のTwitterアカウントのハッキング事件が記憶に新しい。

とはいえ、YouTubeアカウントに対する執拗な攻撃は、被害が広範にわたる点においても、ハッカーが利用している手法においても際立っている。ハッカーが利用しているのは特に新しい手法ではないが、防御は非常に困難なものとなっている。

きっかけはフィッシング詐欺

その手口はすべて、フィッシングからはじまる。VPN(仮想プライベートネットワーク)や写真編集アプリ、ウイルス対策ソフトなどの本物のサービスのように見せかけて、ユーチューバーに協力を依頼するメールを送るのだ。

メールには、製品を視聴者に紹介すれば謝礼を払うなど、標準的な販促依頼の内容が記載されている。インフルエンサーに報酬を支払うことが多い業界では、人気ユーチューバーにとってそんなメールを受け取ることは日常茶飯事である。

ところが、リンクをクリックして製品をダウンロードすると、本物のサイトではなく、マルウェアのランディングページに誘導される。ハッカーが、シスコのVPNやゲームプラットフォーム「Steam」のゲームといったよく知られた製品の販促担当者に扮している場合もある。また、新型コロナウイルス感染症に焦点を当てたメディアの運営者になりすますこともある。

グーグルによると、無防備なユーチューバーのアカウントを感染させる目的でつくられたドメインが、これまで1,000個以上は発見されている。それだけでも規模の大きさがわかるが、この計画の背後にいる攻撃者に関連するメールアカウントは15,000個も発見されたという。

そのため、この攻撃は単独で実行されているわけではない可能性が高い。さまざまなハッカーが、ロシア語のフォーラムにおいてアカウント乗っ取りサービスを宣伝していたと、グーグルは発表している。

狙われるCookie

ユーチューバーが気づかずに悪意あるソフトウェアをダウンロードすると、ブラウザーから「セッション Cookie」と呼ばれる固有のCookieが盗まれる。このCookieはユーザーがアカウントに正常にログインしたことを確認するものだ。このためハッカーは、盗んだCookieを悪意あるサーバーにアップロードし、すでに認証を済ませた被害者になりすますことが可能になる。

ログインプロセスのいかなる部分も通過する必要がなくなるので、セッション Cookieは攻撃者にとって非常に貴重だ。映画『スター・ウォーズ』に例えるなら、ストームトルーパーの装甲服を拝借してしまえばデス・スターの拘置所に忍び込むための認証情報は必要ない、といった具合である。