Check Point Software Technologiesは10月23日(米国時間)、「Dissecting YouTube’s Malware Distribution Network - Check Point Research」において、YouTubeを悪用する組織的なマルウェア配布ネットワークを発見したと報じた。

このネットワークはYouTubeが提供する機能を組織的に悪用し、悪意のあるコンテンツを拡散して最終的にマルウェアを配布するという。

  • Dissecting YouTube’s Malware Distribution Network - Check Point Research

    Dissecting YouTube’s Malware Distribution Network - Check Point Research

YouTubeを悪用したマルウェア拡散

同社は発見したネットワークを「YouTubeゴーストネットワーク」と名付け追跡している。このネットワークは少なくとも2021年から活動を開始し、これまでに3000本以上の動画を公開したとみられる。2025年は動画の作成数が3倍に急増しており、この攻撃手法の有効性を浮き彫りにしている。

動画の主なカテゴリーは「ゲームハック/チート」および「ソフトウェアクラック/著作権侵害」とされ、ゲームやアプリ、コンテンツの不正利用を望むユーザーを標的とする。攻撃者たちは動画の説明、投稿、コメント機能を悪用して偽りの信頼感を醸成し、悪意のあるアーカイブファイルをダウンロードするように誘導する。

  • YouTubeゴーストネットワークの侵害経路 - 引用:Check Point

    YouTubeゴーストネットワークの侵害経路 引用:Check Point

攻撃には侵害したYouTubeアカウントが悪用される。攻撃者は一定数の登録者を擁するアカウントを乗っ取り、過去のコンテンツとは関連のない悪意のある動画を平然と投稿する。マルウェアは外部の配布サイトからダウンロードする仕組みで、配布サイトへのリンクは動画の説明欄またはコメントに掲載するケースと、動画内で説明するケースが確認されている。

2025年5月までは情報窃取マルウェア「Lumma Stealer(別名:Lumma、LummaC2)」が多く配布されたが、Microsoftおよび法執行機関によるインフラ遮断により停止。それ以降は情報窃取マルウェア「Rhadamanthys」が多く配布されたという(参考:「Microsoft、40万台に感染のマルウェア「Lumma Stealer」のインフラ遮断 | TECH+(テックプラス)」)。

対策

Check Pointは発見した悪質な動画をGoogleに報告し、その多くがすでに削除されたという。しかしながら、アカウントを乗っ取る攻撃者の特定は困難とされ、また攻撃インフラの柔軟性、拡張性から同様の攻撃は継続すると予想されている。

同社はこのような攻撃への対策として、プラットフォーム事業者の継続的な監視と対策の強化、そして業界を横断した協力体制の構築が必要としている。また、海賊版ソフトウェアやツールの使用は法律に抵触する可能性があると指摘し、これらソフトウェアを使用しないように呼びかけている。