YouTubeゴーストネットワーク
悪意のあるYouTubeアカウントの一団が、YouTubeの人気につけ込み、無防備なユーザーにマルウェアを拡散させています。正規のチュートリアルやソフトウェアクラックのコンテンツを模倣し、エンゲージメント率を指標に利用することで、一見役立つ動画を感染経路へと転用しています。
目次
成長を続ける長期事業
2021年から活動しているこのキャンペーン(セキュリティ研究者からYouTubeゴーストネットワークと名付けられている)は、これまでに3,000本以上の悪質動画をアップロードしてきました。今年はその量が急増し、約3倍になったため、Googleは問題の動画の大部分を削除せざるを得ませんでした。削除を繰り返しても、その規模とモジュール設計により、迅速に再生することが可能です。
仕組み:信頼を武器にする
攻撃者は正規のチャンネルを乗っ取ったり、新規チャンネルを作成したりして、海賊版アプリケーション、ゲームチート(特にRobloxチート)、またはクラッキングされたソフトウェアを宣伝する動画を差し替えたりアップロードしたりします。これらの動画は、洗練されたチュートリアル動画であることが多く、目に見える信頼シグナル、高い視聴回数、いいね、肯定的なコメントなどを利用して、視聴者にコンテンツの安全性を確信させます。感染した動画の多くは数十万回(報告されている視聴回数:約14万7千~29万3千回)の視聴回数を記録しており、この手法は特に効果的です。
ロールベースの回復力のあるインフラストラクチャ
このネットワークの強みは、役割に基づく構造にあります。侵害されたアカウントには特定の運用任務が割り当てられるため、個々のアカウントが停止された場合でもキャンペーンは継続されます。このアーキテクチャは継続性を維持し、修復を困難にします。
観察されたアカウントの種類は次のとおりです。
動画アカウント: ベイト動画をアップロードし、説明、固定コメント、または動画ウォークスルーにダウンロード リンクを埋め込みます。
投稿アカウント: 外部ページにリンクするコミュニティ投稿またはメッセージを公開します。
Interact アカウント: いいねや励ましのコメントを追加して、社会的証明と正当性を生み出します。
デリバリーチェーン:リンクが導く先
動画の説明、コメント、投稿内のクリック可能なリンクは、視聴者をファイルホスティングサービス(MediaFire、Dropbox、Google Drive)や、無料プラットフォーム(Google Sites、Blogger、Telegraph)でホストされているフィッシングサイトやランディングページにリダイレクトします。これらのリンク先では、最終ターゲットを隠すためにURL短縮サービスが使用されていることが多く、最終的にはインストーラーやローダーを配信する別のページにリンクされていることがよくあります。
観察されたマルウェアファミリーとローダー
研究者は、このネットワークを、次のような複数の情報窃取ファミリーや Node.js ベースのローダーおよびダウンローダーに関連付けています。
Lumma Stealer、 Rhadamanthys Stealer 、StealC Stealer、 RedLine Stealer 、Phemedrone Stealer、およびさまざまな Node.js ローダー。
虐待の具体的な例
@Sound_Writer というチャンネル(登録者数約 9,690 人)は 1 年以上にわたって侵害を受けており、Rhadamanthys を展開する暗号通貨関連のビデオをホストするために使用されていました。
@Afonesio1 というチャンネル(登録者数約 129,000 人)が 2024 年 12 月 3 日と 2025 年 1 月 5 日にハイジャックされ、クラックされた Adobe Photoshop を提供するビデオが投稿されました。配布された MSI によって Hijack Loader が配信され、Rhadamanthys がインストールされました。
ゴーストネットワークがなぜこれほどうまく機能するのか
これらのキャンペーンが成功するのは、プラットフォーム独自のエンゲージメントツールを正当性を示すために再利用しているためです。役割ベースの設定により、アカウントの迅速な切り替えと運用上の変更頻度の低さが実現されるため、プラットフォーム所有者がコンテンツを削除してもキャンペーン全体は存続します。ゴーストネットワークは、脅威アクターが通常のソーシャルシグナルやプラットフォーム機能を武器化することでどのように適応していくかを示す明確な例です。
より大きなトレンド:配信チャネルとしてのプラットフォーム
YouTubeだけが悪用されるわけではありません。攻撃者は長年にわたり、乗っ取ったアカウントや新規に作成したアカウントを利用して、チュートリアル風のコンテンツを投稿し、被害者を悪意のあるリンクに誘導してきました。他の正当なサービスや広告ネットワーク(検索エンジン、ファイルホスト、GitHubのようなコードホスティングサイト)も、分散型配信チェーン(例えば、関連するStargazers Ghost Networkモデル)の一部として悪用されてきました。
セキュリティチームとユーザーがすべきこと
リスクを軽減するための実践的な手順:
- 迷惑な「クラックされた」ソフトウェアやチートのダウンロードは高リスクとして扱い、ベンダーのサイトや公式ストアを優先してください。
- ダウンロードする前にプラットフォーム外のリンクを確認してください。リンク先を確認せずに短縮 URL をたどることは避けてください。
終わりに
YouTubeゴーストネットワークは、現代の攻撃者がソーシャルエンジニアリングとプラットフォームの仕組みを巧みに融合させていることを如実に示しています。この攻撃は信頼シグナルとモジュール型アカウント構造を悪用するため、防御側はユーザー教育、プラットフォームの警戒、そして技術的制御を組み合わせ、攻撃の連鎖を遮断し、脅威の及ぶ範囲を縮小する必要があります。
