偽のログイン ページや悪意のあるリンク、その他の手法を使用してユーザー名、パスワード、その他の個人データを盗み出すフィッシング詐欺とは異なり、Cookie 盗難攻撃は、ログイン時にブラウザーが保存する Cookie をターゲットにします。

Cookie盗難攻撃は、一般的なフィッシング詐欺よりも手間と費用がかかり、ハッカーがログインCookieを利用できるようになる前にユーザーがログイン状態を維持し、Cookieを削除しない場合にのみ有効です。しかし、ログインセッションCookieを使用すると、ログインの必要性が完全になくなり、2要素認証（2FA）コード、セキュリティの質問、USBセキュリティキーなどの追加の認証要件も回避されます。そのため、Cookie盗難攻撃は非常に危険です。YouTubeが最近、すべてのYouTubeクリエイターに2FAログインを義務付けたことを考えると、Cookie盗難はハッカーにとって残された唯一の実行可能な手段の一つである可能性が高いでしょう。

他のフィッシングやマルウェア攻撃と同様に、Cookieの盗難を成功させるには、ユーザーに悪意のあるファイルやアプリをコンピュータにダウンロードさせてインストールさせる必要があります。ハッカーはソーシャルエンジニアリングの手法を用いて、被害者を騙し、偽の（しかし説得力のある）広告提携をメールで勧誘しました。

例えば、「パートナーシップ」の中には、VPN、ウイルス対策アプリ、あるいはYouTuberが「レビュー」を依頼されたビデオゲームなどがありました。YouTuberが製品のテストに同意すると、ハッカーはユーザーのYouTubeチャンネルログインCookieを収集するマルウェアに感染したファイルを送信しました。ファイルはマルウェア対策アプリやウイルス対策アプリを回避できるよう暗号化されており、ユーザーのコンピュータに侵入する前に傍受することが困難でした。

これらのクッキーを入手したハッカーたちは、チャンネルのユーザー名やパスワードを一切必要とせずにチャンネルを乗っ取ることができました。彼らは乗っ取ったチャンネルを利用して、偽の寄付キャンペーンや偽の暗号通貨スキームなど、YouTuberの視聴者を狙った金銭詐欺を仕掛けました。場合によっては、ハッカーグループは小規模なチャンネルを他のハッキンググループに3ドルから4,000ドルで売却していました。

安全を保つ方法

Googleの報告によると、同社のチームは「2021年5月以降、Gmailにおける関連フィッシングメールの量を99.6%削減」し、160万件のメッセージ、6万2000件以上のフィッシングページ、2400件の悪意のあるファイルをブロックしたという。また、同社はハッカーの活動をFBIに報告した。

影響を受けたチャンネルについては、YouTubeは約4,000のアカウントを正常に復元したと発表しました。

詐欺の被害に遭われた方にとっては朗報ですが、これらの数字はフィッシング詐欺がどれほど大規模（かつ危険）であるかを如実に示しています。だからこそ、すべてのアカウントで2FAを有効にすることを常に推奨しています。（YouTubeで2FAを有効にしていない場合は、今すぐ有効にすることをお勧めします。）

しかし、今回のフィッシング攻撃は、2FAセキュリティを回避できることも示しています。サイバーセキュリティ機能は100%効果的ではありません。しかし、2FAはハッカーが侵入するのを最初からはるかに困難にします。アカウントごとに異なるパスワードを作成することも同様に困難です。

オンライン詐欺を見分けるためのガイドは、ハッカーがデバイスやデータにアクセスしてしまうようなよくある落とし穴を回避するのに役立ちます。信頼できるウイルス対策アプリやマルウェア対策アプリを使って、PCやダウンロードしたファイルを定期的にスキャンし、ブラウザの最高レベルのセキュリティモードをオンにすることを忘れないでください。Googleのレポートには、ハッカー集団が攻撃に使用したドメインのリストも掲載されています。これらのドメインを確認し、ブラウザやマルウェア対策アプリのブロックリストに追加することをお勧めします。

[ザ・ヴァージ]

次の記事へスクロールしてください