YouTubeゴーストネットワークは、YouTube上で活動する悪質アカウントの集合体です。
これまでもYoutubeを舞台にして悪質なコンテンツを提供し、マルウェアを入手させる取り組みは多く確認されています。
この意味ではこの活動も同じようなものともいえるのですが、もう少し込み入った活動となっています。
- 役割の異なる複数の悪質アカウントを使う
脅威アクターは役割の異なる複数の悪質アカウントを使います。
次のものです。- Videoアカウント
この種のアカウントは、フィッシング動画をアップロードし、説明欄にソフトウェアのダウンロードリンクを記載します。
他の種の悪質アカウントの書き込むコメントへの返信コメントの記入も行います。
コメント記入の中で、脅威アクターが用意した悪性コンテンツの配布サイトの情報書き込みを行うこともあります。 - Postアカウント
この種のアカウントは、コミュニティのメッセージや投稿を公開する役割を受け持ちます。
そして多数のコメントの中に混ぜる形で、パスワード保護されたアーカイブにアクセスするための外部ダウンロードリンクとパスワードを投稿します。
リンクとパスワードはたびたび更新した新しいものを投稿します。 - Interactアカウント
この種のアカウントは、肯定的なコメントを投稿したり、動画や投稿に「いいね!」したりする役目です。
いわゆるさくらでしょうか。
このにぎやかしがあることで悪性のコンテンツに偽りの信頼感や安心感を生み出す役目を担います。
- Videoアカウント
- 誘導のバリエーション
脅威アクターは悪性の外部サイトへを誘い込む方法は複数用意しています。- 説明で誘導する
動画の説明欄に外部リンクとパスワードを記載して誘導します。 - コメントで誘導する
動画のコメントに、外部リンクとパスワードを記載して誘導します。 - 動画内で誘導する
動画のなかの説明で、外部リンクとパスワードを案内して誘導します。
- 説明で誘導する
- 耐性が高い
この脅威活動は防御側の実施する対応活動への耐性が高い仕組みを構築できています。
使用する各種悪性アカウントはそれぞれ多数用意して使用します。
このため、いくつかの悪性アカウントが停止扱いとなったとしても、脅威活動は継続が可能です。
使用できなくなった悪性アカウントの代わりは、また追加用意されてしまいます。
外部に用意する悪性コンテンツ提供用URLは多数用意しています。
このため、いくつかの悪性コンテンツ提供用URLがセキュリティ対策で到達できなくなったとしても、脅威活動は継続が可能です。
使用できなくなった悪性コンテンツ提供用URLの代わりは、また追加用意されてしまいます。
悪性コンテンツはインフォスティーラー型マルウェアです。
以前この脅威ではLummaを使っていたのですが、これが使えない状態になったら、Rhadamanthysを使うように変化しました。
脅威活動で使用する道具となるマルウェアも簡単に差し替えできるということです。
いろいろな意味で耐性の高い脅威活動となっています。
この脅威活動は大きく活動を展開した状態になっています。
Youtubeの運営側はすでに3000本以上の悪性動画を削除していますが、悪性動画をいくら削除してもこの脅威活動の方式そのものを停止させることができるかは怪しいものです。
複数の役割のアカウントの活動内容の中に、生成AIの活用も混ぜ込まれているようです。
今後ますますそれらしさが向上してくることも考えられます。
仕組みやセキュリティソフトウェアによるセキュリティ対策だけでは対応が難しい種類の脅威活動のように思えます。
私たち自身が注意して被害者とならないようにする必要がありそうです。
Dissecting YouTube’s Malware Distribution Network
https://research.checkpoint.com/2025/youtube-ghost-network/
| この記事をシェア |
|
|---|
