このフィッシング詐欺は何が危険なのか?
結論:本物と見分けがつかないレベルで巧妙化し、アカウント全体を乗っ取られるリスクがある。
Malwarebytesは4月15日(米国時間)、「Fake YouTube copyright notices can steal your Google login|Malwarebytes」において、YouTubeクリエイターを標的にする巧妙なフィッシング詐欺の増加について注意を喚起した。
セキュリティ意識の高いユーザーがだまされるほどの巧妙な攻撃とされ、YouTubeチャンネルやGmailを含むGoogleアカウント全体を乗っ取られるという。
なぜだまされる?3日以内の期限で判断力を奪う手口
結論:「3日以内」といった期限設定とリアルな偽通知により、冷静な判断を失わせる設計になっている。
このフィッシングは悪意のあるWebサイト「dmca-notification[.]info」から始まる。Webサイトのタイトルは「Youtube | Copyright strikes(著作権侵害)」で、YouTube公式サイトを意識した作りになっている。
-
悪意のあるWebサイト - 引用:Malwarebytes
Webサイトはチャンネル名、ユーザー名、YouTubeリンクの入力を促すが、実際はURLに標的を識別するチャンネルハンドルが埋め込まれており、Webサイトは標的を常に把握した状態で動作する。被害者がいずれかの情報を入力すると、YouTubeから実際のデータが取得され、リアルタイムに偽の通知ページが生成される。
通知ページには被害者のブランドロゴや動画に関する複数の情報が表示されるため、本物の通知ページにみえるという。Malwarebytesによると実際の法的通知と似た構造で、無視することは難しいとされる。
警告文には「この著作権侵害通知に3日以内に対応しない場合、利用規約に基づき、著作権侵害の発行を含む強制措置がチャンネルに適用されます」と表示され、解決のためにログインおよびチャンネル所有者であることを証明するように求めてくる。
-
3日以内の対応を求める警告ページ - 引用:Malwarebytes
攻撃者は3日間という比較的短い期限を設定することで緊迫感を作り出す手法を用いている。これはオンライン詐欺によくみられる手法で、被害者を焦らせることで正常な判断能力と調査時間を奪おうとする。
偽の著作権通知の特徴は?本物との違い
冷静に考えればチャンネル所有者であることを証明したところで著作権侵害は解決せず、また申立人の表示や侵害の詳細情報もなく不自然なことがわかる。
しかしながら冷静さを失い、指示に従ってログインするとアカウントを乗っ取られる。
誰が狙われるのか?中小YouTuberが標的の理由
このキャンペーンは、チャンネル登録者数が300万人を下回る中小規模のYouTubeクリエイターを標的にする。
これは資金力のあるクリエイターへの攻撃を避けることで、専任のセキュリティチームなどによる速やかな検出を回避する目的があると推測されている。
フィッシングを防ぐには?やってはいけない行動
結論:メールや通知のリンクからログインせず、必ず公式サイトから直接アクセスすることが基本対策となる。
Malwarebytesは同様の攻撃を回避するために、YouTubeクリエイターに以下を把握しておくことを推奨している。
- 正当な著作権侵害通知は、ユーザーを焦らせることを目的としていない(参考:「著作権侵害の警告について - パソコン - YouTube ヘルプ」)
- YouTubeの著作権侵害の警告は、YouTube Studio(studio.youtube.com)の「ステータスと機能」に表示される
- メールやメッセージのリンク先からログインしない
また、ログインする際に次の操作を実行してWebサイトの真偽を調査するように推奨している。
- Webブラウザを最小化する。公式サイトのポップアップは開いた状態を維持するが、偽サイトのポップアップは消失する
- アクセスしているURLの正当性を評価する
- アドレスバーに文字を入力できるか確認する。文字を入力できない場合は、偽の画像が表示されている
すでにログインした場合の対処は?
結論:直ちにパスワード変更とセッションの無効化を行い、不正アクセスの有無を確認する必要がある。
すでに悪意のあるWebサイトからログインした可能性のあるクリエイターは、速やかにパスワードを変更する必要がある。攻撃者によるアカウントの侵害が進行中の可能性もあるため、アクティブなセッションをすべて閉じ、アカウント全体で不正なアクティビティがないか調査することも推奨される。
フィッシング詐欺のシステムおよび戦術は日々進化を続けている。このキャンペーンではフィッシング・アズ・ア・サービス(PhaaS: Phishing as a Service)として提供される共有プラットフォームを使用した攻撃と評価されており、複数の脅威アクターによる協調攻撃が実行中とみられている。
同様の攻撃は今後も継続すると予想されており、価値のあるオンラインアカウントの所有者は突然の攻撃に冷静な対処ができるように日頃の訓練と警戒を続けることが望まれている。
偽のWindows Updateに注意、パスワード窃取の恐れ 流出情報を悪用した巧妙な手口とは
