この数日間、YouTubeユーザーが大規模なアカウント乗っ取り攻撃に見舞われている。特に狙われているのは、自動車のチューニングやレビューの分野で活躍するクリエイターたちだ。米ZDNetが読者の1人からの情報提供を受けて行った調査で明らかになった。



提供：ZDNet.com 提供：ZDNet.com

自動車の分野で有名な複数のYouTubeクリエイターが、すでにこの一連の攻撃の被害者となっている。その中には、「Built」（Instagramの投稿、YouTubeチャンネル）「Troy Sowers」（Instagramの投稿、YouTubeチャンネル）「MaxtChekVids」（YouTubeチャンネル）「PURE Function」（Instagramの投稿、YouTubeサポートの投稿、YouTubeチャンネル）「Musafir」（Instagramの投稿、YouTubeチャンネル）といったチャンネルも含まれている。

だが、標的とされたのはYouTubeの自動車好きの人たちだけではない。この1週間、他のYouTubeクリエイターからもアカウントを乗っ取られたという報告が相次いだ。特に顕著になったのは先週末で、被害を訴える何十件もの投稿がTwitterやYouTubeのサポートフォーラムにあふれている。

今回のアカウント乗っ取りは組織的攻撃によるものとみられる。ユーザーをフィッシングサイトに誘導するメッセージを使い、そのユーザーのアカウント認証情報を盗み出している。

この記事の公開前にアカウントを回復させることに成功し、YouTubeのスタッフから追加情報をもらったというあるチャンネル運営者によれば、ハッカーは次のような流れで攻撃をしているようだ。

フィッシングメールを利用して、標的とするユーザーを偽のGoogleログインページに誘導し、そのユーザーのアカウント認証情報を収集する。

Googleアカウントに侵入する。

人気の高いチャンネルに新しい運営者を割り当てる。

そのチャンネルのバニティURL（チャンネル名などを組み込んだわかりやすいURL）を変更し、元のアカウント所有者やフォロワーに対し、そのアカウントが削除されたように見せかける。