YouTuberを襲うサイバー攻撃が進行中、二段階認証も突破される新手口とは

2019年9月ごろから、Googleアカウントを狙ったフィッシング詐欺の被害が相次いでいます。その攻撃の矛先は不特定多数の一般人ではなく、動画投稿で収益を得る「YouTuber」（ユーチューバー）の人たちです。手口も比較的新しい手法で、Googleの二段階認証を突破して不正ログインする方法が用いられています。なぜYouTuberが狙われるのか、どのような手法でGoogleアカウントが乗っ取られているのか、関係者から得られた情報をまとめました。 仮想通貨取引所「Coincheck」からの大量の仮想通貨流出事件や、「漫画村」など海賊版漫画サイトの追跡でいち早く新情報を探し当てたホワイトハッカー。ダークウェブやネット上での匿名化技術に精通し、「ダークウェブの教科書 匿名化ツールの実践」（データハウス）を執筆した。 日本を含め世界中で被害発生 このYouTuber乗っ取り事案は世界規模で発生してい

[uunfo]

クリックするなよ…

[Palantir]

メールリンクやめる方針を早急に立てた方がいいと思います。公開鍵と公開鍵証明書の二経路配布みたいにさ ドメイン確認とかあんまり効果ないから辞めよう。フォントいじられたりユニコードつかわれたら分からんて…

[ton-boo]

「（1）ドメインを確認する」これホント最重要だからchromeとかのomniboxに関する仕様変更は好意的に受け止めてる。あとNTT系サービスに多い印象だけど申し込み中に無言で他のドメインに飛ばすようなサービスは警戒する

[ku__ra__ge]

公式がメールにログインリンクを付けるのを辞めるか「危険性を承知でこのリンクからログイン」とかの名前にすれば解決しそう。googleとかなら強行できそう。

[hdampty7]

「二段階認証も」って書いてあるけど、鉄砲突き付けられて乗っ取られても「二段階認証も」って書きそうな雰囲気だな。自分から鍵を相手に差し出してるんだから二段階認証関係ないでしょ、もう。

[Listlessness]

手口としてはフィッシングサイトに2回入力させるだけだから、防ぐにはセキュリティキーみたいな所持物で2FAやるのがいいのかな？https://cloud.google.com/titan-security-key?hl=ja

[kappa_live]

９９％のユーチューバーが乗っ取られるSF小説ないかな。急上昇にユーチューバーのやついらない派

[richard_raw]

ほとんどは送り主のメールアドレスが怪しくてわかりやすいですね。これからも気を付けよう。

[asakura-t]

最近見かけたのはメールヘッダのReturn-Pathも正しい感じでリンクには http://bit.ly 使ってたので、メールのドメインだけ見てもダメなんだよねぇ。

[solidstatesociety]

アプリ統合APIを利用してるのかな

[daybeforeyesterday]

うーむ

[kamiaki]

“リアルタイムでサービスにログインし、必要な情報の入力を被害者に行わせることで、二段階認証の突破が可能となってしまう”

[gui1]

どんまい(´・ω・｀)

[beginnerchang]

SMSを使った2段階認証は最早「電話代が馬鹿にならない」くらいしかアドバンテージが無いような

[koyhoge]

単純なコードジェネレータではMITMは防げないということか。URLを確認する以外の抜本的な対策はなさそうなのがやっかい。

[igrep]

"攻撃者がYouTuberを狙うのはこれが理由とみられます。つまり、収益化済みのチャンネルを奪えば収益化条件を一足飛びにして、違法動画から収益を得ることが可能になる"

[delphinus35]

ずっと前から言われてるやつ。これ防ぐなら生体認証（FIDO とか Touch ID）しかないねえ

[uekaraittaro]

ほー賢い

[IGA-OS]

“今回のフィッシング詐欺ではこの二段階認証も突破されています”

[harumomo2006]

数年前にAmazonの出品者アカウントが大量に乗っ取られて大騒ぎになったのを思い出した

[SPIRIT_PHOENIX]

YouTube アカウントは無事では無いものの、戻って来るのだろうか…?

[chimerast]

多要素認証も多経路認証も完全な防御手段にはならないので、エンドユーザーのリテラシが低いとどうにもならないよなあ。特に標的型攻撃はなあ。

[mono_i_love]

この手口Googleドライブやサイトの乗っ取りにも使えそうなの最高に怖い。G Suite契約している会社でも経路設定やデバイス認証の有無次第ではかなり怖い。公私問わずGmail利用者必読の記事だと思う

[Cald]

認証の経路を分けるしかないかな。Google側で認証元の制限とか無かったっけ。

[zenkamono]

この手のメール毎日来るけど、ログインボタンにカーソルを合わせてリンク先URLを見ると「.com/」で終わらず「.com.xafeo..../」みたいにcomとスラッシュの間に文字列が続いてて「あ、釣りだ」とわかるけど、みんなやらんのか

[sato0427]

この手のでほんとに深刻なの見たことないな。フィッシングサイト踏んだら2要素認証も無意味。 でも権限変更周りはもう一度認証求められなかったっけ？そこさえガードできれば乗っ取られることはないと思うんだけど

[fk_2000]

これは気おつけなくては

[Dursan]

スマホ、泥にしときゃ良かったにね

[nyusankin312]

怪しいのが来たら調べたりしないのかな

[fkatsya]

以前SIM紛失したことにして電話番号を乗っ取る例も見たし、本気で狙われたらどう対処したら良いのか途方に暮れるやつ。

[nico-at]

"ドメインを確認する""メールのリンクをクリックしてログインしない""メールのタイトルで検索してみる""待ってみる""サービスが提供しているセキュリティ診断ツールを利用する"

[yu_fuk]

記事では被害がYouTuberに限定されているが、AndroidスマホユーザならGoogleアカウントを持っているので、不特定多数に狙って同じ手口で乗っ取りを図られる恐れあり。対策も急がれるがまずは周知を急ぐべき。

[stealthinu]

2段階認証設定していてもフィッシングサイトに中継させ素通しすることでログイン可能にする。その後アカウント移譲して乗っとる。高価値なアカウント盗ったらもっといいマネタイズ方法ありそうなもんだが。

[jiwer5959]

"リアルタイムでサービスにログインし、必要な情報の入力を被害者に行わせることで、二段階認証の突破が可能となってしまうということです。"

[Lat]

よく確認しない人、疑わない人にはキーを入力する二要素認証は無意味であるということかな。／googleはハードウェアトークンを準備しYoutuber向けにサブスクリプションで稼ぐとかができるんじゃないのか？