知って得するセキュリティのはなし その134
YouTuberをターゲットにしたフィッシング、チャンネル乗っ取りも…Googleが注意喚起
1.このニュースをざっくり言うと
- 10月20日(現地時間)、米Google社より、同社傘下のYouTubeにおいて発生しているフィッシングについて注意喚起が出されています。
- フィッシングは2019年9月頃から報告され、YouTube投稿者(YouTuber)のチャンネルで公開されるメールアドレス宛に商品のコラボレーション依頼を騙るメールを送り、新型コロナ関連のニュースサイト等に偽装したサイトに誘導、マルウェアをダウンロードさせ、YouTuberがログインしているセッションのCookieをブラウザーから奪取するという手口をとっているとのことです。
- 攻撃者はこれによってチャンネルを乗っ取り、暗号資産(仮想通貨)の取引所を騙る動画による詐欺を行ったり、チャンネル・アカウントを売却したりしているとのことです。
- 同社では「セーフブラウジングの警告を真剣に受け止める」「ソフトウェアの実行前にアンチウイルスによるスキャンを実行する」「Chromeの『保護強化機能』を有効にする」「暗号化されたアーカイブに注意する(マルウェアスキャンをすり抜ける可能性が高いため)」「二段階認証(あるいは多要素認証)によってアカウントを保護する」ことを推奨しており、特に二段階認証について、11月1日以降、チャンネルでの収益化を行っているYouTuberがYouTube Studio等を利用する際に義務付けるとしています。
2.執筆者からの所感等
- Googleでは2021年5月以降、同社のGMailアドレスを利用したフィッシングメールの99.6%を遮断している一方、攻撃者はemail.cz(および.czドメインの複数のサービス)やaol.com等別のメールサービスへ移行しており、フィッシングやマルウェアをはじめ明らかな攻撃メールの送受信を遮断することをあらゆるメールサービスが団結して行うことが望まれるところです。
- YouTubeでは、やはり2019年9月に、Googleのセキュリティアラートを騙るフィッシングメールでチャンネル乗っ取りを狙うケースも確認されており、こちらはフィッシングサイト上で二段階認証の入力までユーザー本人に行わせることで認証を突破する手口となっていた模様です。
- 二段階認証や多要素認証において、攻撃者に奪取されないことを意図してSMS等別の経路で送信される情報であっても、フィッシングサイトから全て入力して攻撃者に手渡してしまっては元も子もありませんので、とにかくネット上で報告されているフィッシングの情報や手口に関する知識を随時取得し、誤った判断をしかねない場面において複数の防御策によってカバーするよう心掛けましょう。