Sergei Elagin / Shutterstock.com

世界で25億人のユーザーを抱えるグーグルのYouTubeは、間違いなく地球上で最も人気のある動画プラットフォームだ。しかし、それを利用しているのは正規のユーザーだけではない。 筆者は最近、ハッカーがYouTubeクリエイターアカウントを標的にした継続的な認証情報の窃取攻撃について報じたばかりだ。ところが、新たに公表されたセキュリティ研究によれば、この脅威はさらに進化しており、攻撃者はYouTubeを通じて信頼されているホスティングサービス経由で偽のインストーラーを配布し、巧妙に検知を回避しつつ、最終的にはユーザーの認証情報を含む機密ブラウザデータを盗み出しているという。 以下が知っておくべきポイントだ。 ■YouTubeユーザーに警告、攻撃者の犯行が深刻化  YouTubeアカウントが攻撃者の標的になる問題自体は新しいものではなく、YouTube側もアカウントを乗っ取られたユーザーがアクセスを取り戻せるよう、新たなAIボットを導入している。しかし、今回の研究ではさらに危険な警告が発せられている。すなわち、25億人のYouTubeユーザー全員がリスクにさらされているということだ。 1月10日に発表された報告書で、トレンドマイクロのインシデント対応アナリストであるライアン・マグラーク、脅威アナリストのジェイ・ネブレ、アソシエイトセキュリティアナリストのアリクソン・クリストファー・フランシスコらは、攻撃者がYouTubeや他のソーシャルメディアを活用し、偽のソフトウェアインストーラーのダウンロードリンクを拡散している手口を明らかにした。 こうしたサイトに寄せられるユーザーの信頼を利用し、クリックを誘導して最終的にマルウェアをデバイスにインストールさせる。海賊版映画やクラックされたソフトウェアなどを装うリンクが、これらハッキング攻撃の鍵となっている。

クラックされたアプリ無料で入手する方法と称して被害者を誘導

「被害者は、YouTubeのような人気動画共有プラットフォームでガイドを装う人物により、海賊版ソフトへと誘導されます。これらの詐欺的行為者は、正規ソフトのインストール手順を解説するかのように装い、動画の説明欄やコメント欄に記載された悪意あるリンクをクリックさせるのです」とアナリストらは説明している。 ■「海賊版ソフトへの誘導」は罠 報告書によると、攻撃者はYouTube上にチュートリアルを装った動画を公開し、今回の事例ではクラックされたAdobe Lightroomを無料で入手する方法と称して被害者を誘導する。動画に投稿された最初のコメントにリンクが含まれており、それを開くと別のYouTube投稿が表示され、そこに偽のインストーラーをダウンロードさせる悪意あるリンクが仕込まれているという。さらにそのリンク先は正当な大容量ファイルホスティングサイトを利用しており、「ダウンロードをさらに隠蔽し、検知を回避するための追加レイヤー」として機能していると報告されている。 YouTubeから始まるこれらの攻撃は、秘匿性と検知回避を維持するために複数の手法が用いられており、特に危険だ。アナリストらによれば、具体的には以下が挙げられる。 ・大容量ファイルを利用して防御用サンドボックスの解析を回避する ・パスワードで保護されたZIPファイルによりコンテンツスキャンを妨げ、パスワードが得られない限り調査を困難にする ・ファイルを既知のメディア共有サイトにアップロードすることで、ウイルス対策ソフトによる既知のダウンロードリンク検出を回避する ・DLLサイドローディングやプロセスインジェクションなど正規ファイルを悪用して、認証情報を盗むマルウェア本体を実行する 筆者はYouTubeにコメントを求めているが、その間にグーグルのマルウェア保護に関するアドバイスを確認し、正規ソフトウェアのクラック方法を探すといった行為は控えることを強く推奨する。