【元記事をASCII.jpで読む】

YouTubeアカウントをねらうフィッシング攻撃

 YouTuberプロゲーマーが高い人気をほこり、動画を配信することが当たり前になっている。動画共有サイトなどでゲーム配信を見るのみならず、自らも配信する側である、という人も少なくないのではないだろうか。

 動画を配信したり、制作したりするときに、不適切な言動や、差別的な内容などを含んでいることは好ましくない、とはよく言われることだろう。それとあわせて、「アカウント」の保護にも気を配りたいところだ。

 2019年9月、YouTuberを狙ったフィッシング攻撃が起きていたと報じられた。とくに、自動車コミュニティ内の多くの人気アカウントが、攻撃の一環として乗っ取られたほか、他のジャンルアカウントインフルエンサーにも影響が及んだという。

 その手口はこうだ。まず犯罪者は、なんらかの手段で、YouTuberデータベースを入手し、電子メールを送信してニセのログインページに誘導した。アカウント情報を集めたら、アカウントページのカスタムURLなども変更。チャンネルの元の所有者に、アカウントが削除されたと思い込ませたのだ。

 手法的には、正規のサービスなどをよそおったメールで、ニセのサイトに誘導させ、ログイン情報(IDとパスワードなど)を盗み出すという、典型的なフィッシング攻撃であり、目新しいものではない。しかし、利用者の増えてきたサービスを狙い撃つ手法になっている傾向がわかるだろう。

 フィッシング攻撃は、かつてはパソコンを使っている人を標的にしたものが多かったが、スマートフォンをだれもが持っている今日においては、スマホユーザーや、SMS機能に目を付けた手口も増えてきている。最近では「LINE」「メルカリ」のような有名なサービスになりすます例が報告されており、注意が必要だ。

リンククリックする前に一呼吸しよう

 フィッシング攻撃は、とにかく対象が引っかかるような手口が駆使されている。メールなら、すぐにアクセスしないといけないと思わせるように、危険性を強くアピールしたり、至急の対応をうながしたりする文面が使われる。誘導されるニセのページは、ロゴや文言なども公式を思わせるように作ってあることが多い。

 そのため、あわてて行動すると、あっさりとだまされてしまう可能性がある。メールで送られてきたならメールアドレスは正規のものか、サイトアクセスをうながされたのならウェブアドレスが正規のものであるかをしっかり確認するような、用心深さが必要になってくる。

 不審なメールが来た場合、時間を置いてから再度メールなどを見直して、公式サイトの連絡先から問い合わせてみるのも有効といえる。不正なログインが疑われる場合は、パスワードを再設定したほうがよいだろう。セキュリティ ソフトウェアを使用し、デバイス個人情報フィッシング詐欺(およびマルウェア)の脅威から保護するのは基本だ。

 ログインの際に、パスワードだけではなく、電話番号にショートメッセージSMS)などを送り、本人確認を実施する「2段階認証」も利用したい。パスワードが知られてしまったとしても、もう一段階の認証なしではログインできなくなるため、より強固なセキュリティとなる。

 さまざまなネット上のサービスを利用する上で、アカウントの保護はとても重要だ。今回はMcAfee Blogから「YouTuberに注意喚起 :アカウントがハッキングされないために」を紹介しよう。(せきゅラボ)

 ※以下はMcAfee Blogからの転載となります。

YouTuberに注意喚起 :アカウントがハッキングされないために:McAfee Blog

 YouTubeには世界中に2,300万人のコンテンツクリエイターがいることをご存じでしょうか。それらのビデオの達人の多くが、9月後半の週末にサイバーセキュリティの災難が起きていることに気づきました。Forbesによると、記者のCatalin Cimpanuaは、YouTubeコンテンツクリエーターを標的にした大規模なスピアフィシングキャンペーンを発見し、ログイン資格情報をあきらめたそうです。

 サイバー犯罪者は、どのように被害者のアカウントを襲ったのでしょうか。Cimpanuaは、ハッカーが大量のデータベースを利用して、YouTubeインフルエンサーターゲットリストメールを送信していることを発見しました。これらのメールには、被害者を偽のGoogleログインページに誘導するフィッシングリンクが含まれていました。YouTuberログイン資格情報を入力すると、攻撃者は被害者のYouTubeアカウントへのフルアクセスを取得し、バニティURLを変更できるようになります。これにより、チャネルの実際の所有者とそのサブスクライバーには、アカウントが削除されたように見えます。さらに、ハッキングに成功したアカウントの一部は、SMSを介した2要素認証(2FA)を利用しており、サイバー犯罪者リバースプロキシを使用していることを示唆しています。このタイププロキシサーバーは別のサーバーに代わってリソースを収集し、サイバー犯罪者SMSを介してリアルタイムで送信される2FAコードを傍受できるようにします。

アカウントを安全に維持するために

 このフィッシングスキームの対象には、主にさまざまなジャンル、特にテクノロジー、音楽、ゲームディズニーカバーするインフルエンサーが含まれていました。しかし、何百万ものコンテンツクリエーターYouTubeをプラットフォームとして使用し、自分の洞察を世界と共有している昨今、ユーザーは自身の資格情報を保護するために適切なサイバーセキュリティの予防措置を行うことが重要です。アカウントの安全性を確保するために、以下のヒントを確認してください。

フィッシングメールに注意

 会社または企業から資格情報の確認を求めるメールを受け取った場合、疑わしいと考えましょう。フィッシャーは多くの場合、正当な企業からのメッセージのように偽造して、ユーザーをだましてログインの詳細を入力させようとします。

クリックする前に考えて

 特に不審なメールリンククリックする前に、そのリンクカーソルを合わせて、URLアドレスが正当なものかどうかを確認します。URLにつづりの間違い、文法上の誤り、または奇妙な文字が含まれている場合は、リンククリックすることを避けるのが最善です。

二要素認証アプリを使用

 二要素認証は決して万能のセキュリティ戦術ではありませんが、ハッカーアカウントをハイジャックしようとする場合、防御の第一線として有効です。この特定のスキームでは、サイバー犯罪者SMSを介して2FAをバイパスし、セキュリティコードを傍受することができました。そのため、ユーザーSMS経由で送信されたコードに頼るだけでなく、認証アプリオプションを検討する必要があります。

 そして、最新のサイバーセキュリティの脅威に注意を払うために、ニュースの報道やソーシャルメディア等で情報収集を心がけましょう。Twitter @McAfee_Home (US版)@McAfee_JP_Sec(日本版)からも情報発信しています。

※本ページの内容は、2019年9月25日(US時間)更新の以下のMcAfee Blogの内容に一部日本の情報を追記しています。
原文:Attention YouTubers: Protect Your Account From Being Hacked
著者:Gary Davis


■関連サイト

動画配信するYouTuberはアカウントハッキングに注意