Youtube 乗っ取り被害にあう理由とフィッシング対策
Youtubeの乗っ取りはメールに記載された偽のGoogleアカウント画面でログイン情報を入力してしまう事で起こる方法です。
専用端末での一時コード入力までユーザーにさせる事で、二段階認証を突破する新手のフィッシング詐欺です。
ログインされてしまうと通常の権限譲渡と同じ手続きでチャンネルの管理権限を全て奪われてしまいます。詐欺被害に遭わない様に細心の注意を払いましょう。
Youtube 乗っ取り被害について
現在人気のサービスであるYoutube、皆さん利用していますよね。もちろん私も観ています。
時期にえるぺぐもYoutubeでも情報公開をしていきたいと思っているので現在計画中です。
去年頃からよく耳にするのがGoogleアカウントを狙ったフィッシング詐欺の被害ですね。
フィッシング詐欺によるYoutube権限の乗っ取り
これがいわゆる「Youtubeの乗っ取り行為」です。
この犯罪は、動画投稿・閲覧をメイン収益としているYouTuber(ユーチューバー)の人たちを相手取った詐欺行為です。
この詐欺には、Googleの二段階認証を突破して不正ログインする方法を用いた新しい手法が使われています。
多数の著名YouTuberがアカウントを乗っ取られる
日本でも複数のYouTuberが被害に遭っていますね。
・博多弁バーチャルYouTuberの舞鶴よかと (@yokato_ch)さん
・ドラゴンボールに関する動画を公開しているNOA(@noa_dbh)さん
・マナル隊さん
・「はるはるチャンネルHaruHaru Channel」さん
・「えぼら」さん
・りおなちゃん『元経産省FXトレーダー』 (@Rionachan108) さん
といった人気YouTubeチャンネルが、突如乗っ取り・停止状態となりました。
その他にも被害を報告しているYouTuberがたくさん表れています。
海外でもアカウント乗っ取り被害に
海外アメリカの自動車分野で有名な複数のYouTuberが、すでにこの一連の攻撃の被害者となっているようです。
主な被害先
・「Built」(Instagramの投稿、YouTubeチャンネル)
・「Troy Sowers」(Instagramの投稿、YouTubeチャンネル)
・「MaxtChekVids」(YouTubeチャンネル)
・「PURE Function」(Instagramの投稿、YouTubeチャンネル)
・「Musafir」(Instagramの投稿、YouTubeチャンネル)
このようなYouTubeチャンネルに対するフィッシング詐欺は世界各地で発生しており、中でもアジアではその被害が数万件に及んでいるようです。
チャンネル停止が相次いでいる
通常チャンネルが停止状態となるのは、いわゆる「垢BAN」などと呼ばれる、YouTubeの規約違反による罰則によるものです。
しかし今回の件はハッキング被害による一時停止という事ですね。
被害がこれ以上及ばない様に措置が取られているのでしょう。
原因はメール記載の「偽サイト」でのログイン行為
今回Youtuberのアカウントが乗っ取られてしまった原因は、運営者に届いたフィッシングメールへのアクセスによるものです。
フィッシングメールに記載されたサイトに自分のGoogleアカウント情報を入力する事、これが乗っ取りの原因となっています。
具体的にはまず、YouTube運営と思われるところから下記のようなメール(英文)が直接届きます。
メール文面
あなたのチャンネルに投稿された動画がスパムであると報告を受けました。
下記リンクにアクセスして確認してください。
24時間以内にスパム対策をしないとチャンネルが閉鎖されます。
この内容を見たYoutuberが、誤ってリンク先のページで自分のアカウント情報を入力してしまう事で始まります。
Googleアカウントを持つ人全てがターゲット
今回はYoutubeの乗っ取り被害に限ったお話ではありません。
自分のアカウント情報とはいわゆる「Googleアカウント」の事です。
つまり「Googleアカウント」を所持している全ユーザーにとって脅威となる事を意味しています。
ターゲットはYoutubeだけじゃない
YouTubeはビジネスツールとして確立されつつあるサービスですが、あくまでGoogle内のサービスの一つです。
他にもGoogleアカウントを使ったたくさんのツールがありますよね。
Gmailやオンラインストレージサービス、Adsenseなどの収益情報なども全てそのターゲット内に含まれます。
それが乗っ取りを受ける事で盗み見されたり、不正利用されたりする可能性があるのですね。
Googleアカウントを持つ人は全員注意すべき
ですので、Youtubeをやっていないからと言って無関係なお話ではないのです。
Googleアカウントを利用しているユーザーは全員何かしらの対策を取るべきと思われます。
あなたは二段階認証を設定していますか?
フィッシング詐欺の対策として挙げられる手法の一つが、いわゆる二段階認証ですよね。
まずは一段階認証としてメールアドレスとパスワードを用いたログイン情報を入力します。
次にスマートフォンなどもう1つの端末で発行される一時的なコードを入力します。これが二段階認証です。
ログイン情報が仮に盗まれても、端末への一時コード入力によって本人以外の利用をブロックできる手法であり、多くのサイトで採用されています。
二段階認証を突破する新手の詐欺
では今回は二段階認証を設定していなかった人が詐欺にあったのでしょうか?いえ今回に限りそうではありません。
一見安心と思われていたこの二段階認証を突破していく手法なのです。
この二段階認証を狙ったフィッシング詐欺によって、ネットバンキングでの不正送金の詐欺被害が多発しており、ここ最近要注意の詐欺手法となっています。
乗っ取り方:Googleアカウント入力・ログインまで
ではどのようにしてこのフィッシング詐欺が行われたのでしょうか。
ここではYouTube運営者(以下:Youtuber)へのフィッシング詐欺の手順を紹介します。
フィッシングメールを直接Youtuberに送信
まず乗っ取り側が、Youtuberの連絡用メールアドレスへフィッシングサイトへのリンクを記述したメールを送りつけます。
メールアドレスはYouTuber自身が連絡先を公開している場合が多いのですね。
ですので乗っ取り側は、チャンネル登録者や閲覧数などから1件ずつ選定して収集している可能性があります。
偽のGoogleログインページへのアクセス誘導
そのメールを受信したYoutuberは記載されたリンクをクリックし、「偽のGoogleアカウントサイト」のログインページを開きます。
Googleアカウントへのログインを促されますので、当然Youtuberは入力をします。でも実際には「ログインはしていない」のですね。
このとき入力された情報を基に、「偽のサイト側が実際のGoogleアカウントにログイン」を掛けるのです。
二段階認証をユーザーに入力させる
そこで入力された情報は当然本物ですのでログインは成功しますよね。これで一段階目突破です。
次に二段階認証コードが要求されるので、それを偽サイトに表示してYoutuberに見せます。
専用端末(電話番号かショートメールなど)へ一時コードを入力するよう、偽サイト側がYoutuber側に打診するのです。
Youtuberは違和感なく一時コードを端末に入力するでしょう、これで乗っ取り側による正式なログインが成功してしまうのです。
要は必要な情報入力をYoutuber側に代行させるのです。Youtuber自身が「乗っ取り側の手伝い」をしていると言っていいでしょう。
では正式にGoogleアカウントにログインできた後はどうするのでしょうか。
チャンネルの管理権限を譲渡させてしまう
乗っ取り側は前もって別のGoogleアカウントを持っています。
偽サイトを通じてログインに成功すると、乗っ取り側は今回取得したGoogleアカウントでYoutuberのチャンネル管理画面にログインします。
そして、乗っ取り側が持つ本来のGoogleアカウントに対し「YouTubeチャンネルのフルアクセス可能なオーナー権限を譲渡させる」のです。
権限付与のページから自身のアカウントを招待して権限を与える
これはYoutubeの通常の「管理権限の譲渡」の手続きと全く同じ手順となります。
アカウント権限のはく奪・アカウント削除
相手側のアカウントでログインして、自分のアカウントへフル権限を譲渡する訳ですから、承認するのも簡単です。
フルアクセスの権限を譲り受ければ、乗っ取り側が持っているGoogleアカウントでそのチャンネルの全ての操作が可能になります。
あとは元オーナーであるYoutuberのGoogleアカウント側が何もできない様、全ての権限をはく奪するのです。
その上ではく奪したGoogleアカウント自体を「削除」してしまう事で、乗っ取りが完了する訳ですね。
管理権限譲渡の手続きとしては正常
上記までに説明した不正ログイン以降の手続きは、YouTubeのチャンネル譲渡機能として正当な手続きです。
手続き自体が正常なので、全て乗っ取られてしまうという事になります。
乗っ取り側の目的について
では乗っ取り側が何を目的にこのような乗っ取り行為を行っているのでしょうか。
これは言うまでもなく、収益化が既にできているチャンネルを強奪する事で動画収益を得る事ですね。
それ以外に何があるの?と言われればそれまでですが。
収益化されたチャンネルを強奪
YouTubeチャンネルをビジネスとして利益を上げるには、チャンネル登録数や動画の投稿数・閲覧時間など様々な条件がありますよね。
ですので単にYouTubeチャンネルを開いて動画をアップロードをするだけでは収益を得る事はできません。
ですので既に収益化ができているチャンネル自体を奪う事で、成長過程をショートカットする事ができ、すぐに収益を得ることが可能になるという訳です。
支払先情報も乗っ取り側のGoogleアカウントに変更されている訳ですから、日々の動画配信によって得る利益は全て乗っ取り側の口座に流れてきます。
違法動画のアップロードで閲覧数を瞬発的に上げる
さらに乗っ取り側はチャンネルを乗っ取った後、違法動画等をアップロードしています。
違法動画をアップする事でさらに再生数が上がる事を狙っているのです。噂を聞きつけて一気に閲覧数が上がる事は良くある話です。
アカウント停止まで期間限定の行為ではある
しかし、乗っ取ったチャンネルには多数のYouTuberのチャンネル登録者が存在します。
突然投稿動画のジャンルが変わりそれがまた違法な動画だったりすれば、その登録者はすぐに「あれ?おかしい」と思いますよね。
登録者が通報すればGoogleアカウントが停止される訳ですから、収益の受け取りがずっと長く続くはずはないのです。
ですがここまで乗っ取り行為が騒がれるという事は、多少成果が上がっているのでしょう。
フィッシング被害に遭わないためにどうするべきか
ではこのような乗っ取り被害に遭わないようにするためにはどのようにすれば良いのでしょう。
ある程度登録者数を抱えるチャンネルであれば、メールアドレスは連絡用として公開しておかなければなりませんよね。
フィッシングメールには警戒する
まずは基本的な事ですが、送られてくるフィッシングメールには気を付けましょう。
メールは本格的に運営を装って送ってきます(相手も本気です)ので、見た目には区別がつきません。
とにかく緊急の対応を促すような内容や、脅迫めいた文言がある場合はフィッシングメールである場合が多いです。
またリンクURLへ誘導し、本物サイトさながらのログインフォームを設けている事がほとんどです。
メールは重要であれば何回も来ます
そもそもメール通知の1発目で即対応しないと間に合わない案件などほぼ存在しません。
まずは入力をする前に一度冷静になって、そのメールと内容が本物かどうかを判断してくださいね。
本当に必要な通知であれば期限超過後も含めて何回もメールが来ます。それを待つくらいでも良いと思います。
最近は本当の通知メール側も、あまたある「偽のメール」をくぐり抜ける必要があるので、工夫されるのです。
複数アカウントに同じメールが届くのは怪しい
さらにあなたが複数のメールアカウントを持っている場合、そのそれぞれに同じメールが後から入ってくる事もあります。
それはフィッシングメールの可能性が高いという事です。ですのでその意味でもしばらく待ちましょう。
Googleアカウントの二段階認証を使っていますか?
二段階認証は今回突破はされてしまった手段ではあるものの、依然として強固なセキュリティ機能である事は間違いありません。
二段階認証はログイン情報入力に加えて、本人所有の端末(スマホや固定電話)に一時コードなどを送る事で本人確認をおこなうものです。
二段階認証をしていないアカウントがまだ多数存在
第三者によるなりすましや不正ログインを防ぐための二段階認証システムですが、実は依然としてまだこの二段階認証を採用していないアカウントもたくさんあるのです。
設定していない人はログイン情報が盗まれたら一発アウトです。
ログイン情報の入力以外に、もう1つの認証コードの「壁」があるに越したことはありません。
アカウントを乗っ取られにくくするためにも、まずはこの二段階認証を設定しましょう。
一時コードの認証方法
・ショートメール等に添付されたコードを入力する
・電話の音声コードを入力してログインする
などがあります。
パスワードを定期的に変更する
Googleアカウントのパスワードを定期的に変更するのも乗っ取り被害を防ぐ対策になります。
一度パスワードを変更したら、元のパスワードに戻れないので面倒かも知れませんが、乗っ取りされるよりははるかにましですよね。
セキュリティソフトを導入する
一般販売されている有料のセキュリティソフトの導入を検討してみましょう。
不審なWEBサイトを表示した時にガイダンスを出してくれる事があるので、偽サイトを見破れる可能性もあります。
現在はPC・スマホ、タブレットなどに同時にソフト導入できる商品があります。
乗っ取られた場合の対処法
万が一アカウントが乗っ取られた事に後から気づいた場合、どのようにしたら良いのでしょう。
その場合の対処法をいくつかご紹介します。
気付いたらすぐにパスワードを変更する
メールに記載されたリンクからアクセスしたページで、Googleアカウント情報を入力してしまったとしましょう。
どの時点でも良いので「はっ」と気づいたら、全速力で「パスワードを変更」をしにいって下さい。
フィッシングの種類によっては、すぐにアカウント操作がされない場合もあるからです。
パスワードを変更するところ
パスワード変更ページはGoogleアカウント管理「セキュリティ」メニューにあります。
フィッシングメールの種類
・入力された段階で自動的にアカウント操作まで実施される場合
・入力された後、犯人が手作業で実施する場合
前者の「自動変更」の場合は難しいですが、後者の「手作業」にである場合はタイムラグがあるので、乗っ取りを防げる可能性があります。
即座にGoogleアカウント管理ページでパスワードを変更するようにして下さい。
わすかな可能性でも掛けてみるべきです。
Googleアカウントを復元する
乗っ取り側で権限譲渡までおこなわれてしまった場合、大体の場合元オーナーのアカウントは削除されます。
そこで「アカウント復元」を申請して、削除されたアカウントを取り戻せる可能性があります。
下記のサイトで申請をしましょう。
アカウント復旧ページ
アカウント復旧ページはこちら
Google側からいくつか質問をされるので、できるだけ正確に答えるようにして下さい。
アカウント復元を行う際は、下記の3つのポイントを押さえることで取り戻せる可能性がアップします。
復元のポイント
・普段よく使うPC・スマホ、タブレット等でログイン
・普段使用するブラウザ(Google Chrome)でログイン
・自宅や職場など、普段ログインしている場所からログイン
すべての質問に答え、ログインが完了しましたら「Continue」を押しましょう。
アカウントの復元が成功すると、下の画面が表示されます。
復旧したらすぐにパスワード変更をして下さいね。
「Googleセキュリティ診断」を利用する
Googleアカウントは乗っ取られてしまう前に防ぎたいものですが、仮に自分以外からの不正アクセスがあった場合は排除する事ができます。
「Googleアカウント」のセキュリティレベルを簡単にチェック・不正対応することができるのが「セキュリティ診断」です。
ここからセキュリティ上怪しい事があると警告を出したり、必要な対策を講じる事ができるのですね。
お使いのデバイス
ログイン中のデバイスがすべて表示されるので、身に覚えのないデバイスからのアクセスがあれば、ここから直接ログアウト操作を行えます。
かつて使っていたデバイスを放置していると上のような状態になりますね。
ログインと再設定
万が一アカウントにログインできなくなってしまった際や、不審なアクティビティがあると通知メールを受信する際に利用します。
本人確認設定も兼ねているので設定をしておけばセキュリティが向上します。
最近のセキュリティイベント
直近28日間の新しいデバイスからのログイン、変更などをすべて表示してくれます。
ここで乗っ取りの被害を把握することができます。
身に覚えのないデバイスからのログインがあれば、上の「お使いのデバイス」の欄からログアウト操作を行いましょう。
サードパーティによるアクセス
主にスマートフォン向けアプリなどでGoogleアカウントにログインすると、ログインをしたアプリなどが表示されます。
アクセス権もログインと再設定と同様に右下の「アクセス権を削除」から行えます。
終わりに
以上、今回はフィッシング詐欺によるYoutubeの乗っ取り被害の手口(Googleアカウント情報の取得、チャンネル権限譲渡)をご紹介しました。
・フィッシングメール
・URLから偽サイトへ訪問
・ログイン情報を入力
・入力情報を元に乗っ取り側が正式にログイン
・二段階認証をユーザーへ打診
・ユーザーは一時コードを自分の端末で入力
・乗っ取り側が自分のアカウントでログイン
乗っ取り側を手伝ってしまうなんて…怖いですね~。
注意できる事はいくらでもあります。
フィッシング詐欺にあわない方法はとにかくメールに敏感に反応しない事ですね。
それから自分の意図とは裏腹にログインをしなければならない場合は注意をしましょう。
特にスマホ画面だとURLはほぼみえないので、どこのサイトかが判別できない事もあります。
Youtubeに限らず、Googleアカウントで利用できる全てのサービスが乗っ取られる可能性があります。まずは二段階認証をきちんと設定して、注意を払っておきたいものです。