YouTubeには世界中に2,300万人のコンテンツクリエイターがいることをご存じでしょうか。それらのビデオの達人の多くが、9月後半の週末にサイバーセキュリティの災難が起きていることに気づきました。Forbesによると、記者のCatalin Cimpanuaは、YouTubeコンテンツクリエーターを標的にした大規模なスピアフィッシングキャンペーンを発見し、ログイン資格情報をあきらめたそうです。
サイバー犯罪者は、どのように被害者のアカウントを襲ったのでしょうか。Cimpanuaは、ハッカーが大量のデータベースを利用して、YouTubeインフルエンサーのターゲットリストにメールを送信していることを発見しました。これらのメールには、被害者を偽のGoogleログインページに誘導するフィッシングリンクが含まれていました。YouTuberがログイン資格情報を入力すると、攻撃者は被害者のYouTubeアカウントへのフルアクセスを取得し、バニティURLを変更できるようになります。これにより、チャネルの実際の所有者とそのサブスクライバーには、アカウントが削除されたように見えます。さらに、ハッキングに成功したアカウントの一部は、SMSを介した2要素認証(2FA)を利用しており、サイバー犯罪者がリバースプロキシを使用していることを示唆しています。このタイプのプロキシサーバーは別のサーバーに代わってリソースを収集し、サイバー犯罪者がSMSを介してリアルタイムで送信される2FAコードを傍受できるようにします。
アカウントを安全に維持するために
このフィッシングスキームの対象には、主にさまざまなジャンル、特にテクノロジー、音楽、ゲーム、ディズニーをカバーするインフルエンサーが含まれていました。しかし、何百万ものコンテンツクリエーターがYouTubeをプラットフォームとして使用し、自分の洞察を世界と共有している昨今、ユーザーは自身の資格情報を保護するために適切なサイバーセキュリティの予防措置を行うことが重要です。アカウントの安全性を確保するために、以下のヒントを確認してください。
フィッシングメールに注意
会社または企業から資格情報の確認を求めるメールを受け取った場合、疑わしいと考えましょう。フィッシャーは多くの場合、正当な企業からのメッセージのように偽造して、ユーザーをだましてログインの詳細を入力させようとします。
クリックする前に考えて
特に不審なメールのリンクをクリックする前に、そのリンクにカーソルを合わせて、URLアドレスが正当なものかどうかを確認します。URLにつづりの間違い、文法上の誤り、または奇妙な文字が含まれている場合は、リンクをクリックすることを避けるのが最善です。
二要素認証アプリを使用
二要素認証は決して万能のセキュリティ戦術ではありませんが、ハッカーがアカウントをハイジャックしようとする場合、防御の第一線として有効です。この特定のスキームでは、サイバー犯罪者はSMSを介して2FAをバイパスし、セキュリティコードを傍受することができました。そのため、ユーザーはSMS経由で送信されたコードに頼るだけでなく、認証アプリのオプションを検討する必要があります。
そして、最新のサイバーセキュリティの脅威に注意を払うために、ニュースの報道やソーシャルメディア等で情報収集を心がけましょう。Twitter @McAfee_Home (US版)、@McAfee_JP_Sec(日本版)からも情報発信しています。
※本ページの内容は、2019年9月25日(US時間)更新の以下のMcAfee Blogの内容に一部日本の情報を追記しています。
原文:Attention YouTubers: Protect Your Account From Being Hacked
著者:Gary Davis