以下の文章は、TorrentFreakの「Fake ‘YouTube’ DMCA Notices Exploit Suspension Fears to Install Malware」という記事を翻訳したものである。
TorrentFreak
オンラインの詐欺師たちは、その標的を従わせるために、直ちに行動しなければ何かを失うことになるとほのめかすことがよくある。振り込め詐欺などがその典型だが、それだけに限らない。最近流行しているのは、ホンモノのYouTubeアカウントへの著作権侵害警告詐欺。ただし、セキュリティ研究者をターゲットにしてしまったがために、詐欺の手口が暴露されてしまった。
YouTuberはコンテンツ制作者であると同時に著作権者でもあるので、著作権法の目的をより深く理解することもあるだろう。また、コンテンツ制作を円滑に進めるためにも、他人の著作権を尊重することが求められる。
そうでなれけば、第三者から著作権クレームを受け取ることになる。YouTubeユーザが3件のクレームを受けると、アカウントは永久に凍結され、すべての動画、再生回数、登録者、そして創作の意欲さえも奪われかねない。幸いなことに、多くのYouTuberは慎重さを備えているので、そうした著作権の問題に巻き込まれることはほとんどない。
だが災難は突然にやってくる。
このメッセージは、今週、YouTuberのジョン・ハモンドが受け取ったものだ。最近、同様のメッセージがさまざまなYouTuberに送られているようだ。メッセージは、彼が作成し、YouTubeに投稿したホンモノの動画に言及しており、YouTubeのURLも正しく表記されている。
だが、ハモンドはただのYouTuberではなく、サイバーセキュリティの専門家でもあった。彼は、このメッセージの不審な点に気づいた。
初手は巧妙――だが、その後は雑
詐欺師はホンモノの情報をメッセージに盛り込み、アカウント凍結の恐怖を煽った。パニックが緊急性を高め、緊急性が冷静さを失わせることを狙ったのだ。ただ、ハモンドは自分の動画が著作権を侵害していないことをわかっていたので、パニックになることはなかった。
メッセージはGoogle DriveからPDF形式でハモンドに送付されていた。YouTubeがそんなことをするわけがない。警告はユーザのYouTubeアカウントに表示されるので、通常であれば、まずはそこを確認するのが最善である――ラビット・ホールが大好きなセキュリティの専門家でもない限りは。
ハモンドは、メッセージに従ってみることにした。より詳しい情報を得るために「レポートを開く」ボタンをクリックすると、明らかにYouTubeではない、しかもお尻に自分のメールアドレスがくっついたURLに遷移した。もちろん、こんなことは通常ではありえない。
ハモンドは、ユーザのブラウザ(ChromeやFirefoxなど)によって接続先サイトの挙動が多少は異なるものの、最終的にDropbox上のファイルにリダイレクトされることを確認した。
言うまでもないが、YouTubeがそんなふうにユーザにファイルを送ることはありえない。
不要なリンク、複数回のダウンロードに注意
この時点で、“YouTubeがGoogle Drive経由で、Gmailアカウントを使って、怪しい英語で、クリエイターとコミュニケーションしている”という状況を不審に思っていない、という設定をハモンドは貫いている。さらに、上記の通知によると、“YouTubeがストライクを宣告するかどうかを決めあぐねている”という設定も信じていることになっている。
この希望の光は、ターゲットの注意を想定される著作権「モデレーション」プロセスの結果に向けさせ、著作権通知の真偽から逸らせるものであった。通知を読まなければ、ひどいことになるかもしれないと警告されているのだから、一部の人が騙されてしまうのも想像に難くない。
それとはまったく別の理由でハモンドが「レポートを開く」をクリックすると、攻撃者がDropboxに保存していたファイルが表示された。このファイルは「YouTube Copyright Report」という名前で、拡張子はZIP、つまりユーザのマシンで展開されるファイルだ。
一般に、ユーザは自分自身が開始したのではないプロセスの一部として、自分のマシンに表示されるファイルについて、とりわけそのイベントが突然降り掛かってきたものである場合には、極めて慎重に行動しなくてはならない。見知らぬ人から送られたZIPファイルなど信用してはならない。
ハモンドは(VM内の)Windows 11のプロセスモニタで、このファイルがデバイス情報を検出し、アンチウィルスが実行されているかを確認した上で、フィンランドのIPアドレスと思しき宛先に繰り返しコンタクトしようとしていることを確認した。
結論:RedLine Stealerマルウェア
我々がこのフィンランドのIPアドレスを少し詳しく調べてみたところ、ロシアに関係していることがわかった。この特徴は、ジョン・ハモンドが指摘したメールアドレス入りのURLのドメインとも共通している。後者に関しては、多数の類似ドメインがリンクされていて、同様に悪質である可能性もあるが、それ以外にも目を引くものがあった。
ドメインとIPアドレスのテスト後、他人のメールアドレスとユーザ名を含む類似のURLを発見した。そのうちの1つのメールアドレスは、同様に著作権侵害クレームを受けた可能性のある現役YouTubeに直接リンクすることができた。
我々は状況を警告するメールを彼に送付したが、今のところ返信はない。非常に深刻なことになっているかもしれないが、彼が早々にこのプロセスから脱していることを願っている。
技術的に経験豊富なYouTuberであれば、この手の詐欺には引っかからないのだろうが、自分のYouTubeチャンネルを心底大切にしている人が、その場の勢いで衝動的に行動してしまうこともありうる。
とはいえ、YouTubeの「ストライク」システムと、プラットフォームがこの種の問題をユーザに伝える方法を明確に理解していれば、このような詐欺がうまくいくことはない。もし疑問があれば、YouTubeのログインし、メッセージを読み、クリックする前に誰かに相談することをおすすめする。
詐欺師がなんと言おうと、一刻の猶予もない緊急性などはありえないのだから。
Fake ‘YouTube’ DMCA Notices Exploit Suspension Fears to Install Malware * TorrentFreak
Author: Andy Maxwell / TorrentFreak (CC BY-NC 3.0)
Publication Date: August 31, 2022
Translation: heatwave_p2p
Header image: Jasmin Sessler
