ビヨンドブログをご覧いただきありがとうございます。
株式会社ビヨンド技術営業部マーケティング課のナリタです。

人工知能（AI）が様々な分野で活用され、その成果をニュースで見る機会も多くなりました。そんなメリットを受ける反面、詐欺などの手口に利用されるケースも報告されています。

今回はその中でも、世界で最も利用されている動画オンラインプラットフォームである、「YouTube」を悪用したマルウェア攻撃について解説します。

このような攻撃の手口には、くれぐれもご注意ください。

YouTubeを利用した攻撃の手口

まず、手口の全容としては次の通りです。

① YouTubeチャンネルを乗っ取る

② AIで生成した動画を投稿

③ リンクからダウンロードサイトに誘導

④ ダウンロードしたファイルを開くと感染

それでは、各項目ごとに解説していきます。

YouTubeチャンネルの乗っ取り

まずは動画をアップするために、YouTubeチャンネルアカウントをフィッシング詐欺やスティーラーログなどによって乗っ取ります。

検索サイトやSNSで「"My YouTube channel" "hacked"」と検索すると、多くの被害者の声が寄せられております。

 

乗っ取られたチャンネルに関しては、登録者が22人のものもあれば、数百万人もの登録者を抱えるものなど多岐にわたります。

必ずしも登録者の数で実行しているわけではないようですが、チャンネル登録者が多いほど拡散力が強く信頼性も高いので、より多くの被害者を生む危険性があります。

アカウントの乗っ取り方法については、ブルートフォース攻撃（総当たり攻撃）やフィッシング詐欺などを使い、パスワードを入手して侵入してくるケースが多いです。

これについては、多要素認証によってアカウント認証を突破されないよう対策することが効果的です。

そして普段からネットリテラシーを高く持ち、怪しいリンクをクリックする事やSNS等での不用意な情報の発信も、アカウントが乗っ取られる原因にもなり得るため控えましょう。

AIで生成した動画を投稿

最近では、テキストや画像から動画を生成するAIツールも登場するなど、より一層動画制作が容易に作成できるようになりました。

その技術を悪用して、 YouTube にアップするための動画制作を行っています。

内容としては、「有名な有料ソフトやアプリの海賊版をダウンロードできる」といった解説動画です。人気のサービスを選ぶことで、検索にも引っかかりやすく注目度も高まります。

動画のサムネイルについても、AIで抽出した人物が映っていたり、人気キャラクターが使用されていたりとありとあらゆる手口で誘惑してきます。

ダウンロードサイトに誘導

アップロードした動画の概要欄やコメント欄にURLを記載し、そこからダウンロードサイトに誘導します。

添付したURLの信憑性を高めるために、BOTなどを利用してコメントをいくつも投稿されています。

 

しかしこのような悪質な動画は、よく見るとコメント内容が重複していたり、日本語に違和感を感じる文章だったりと幾つか不審な点が見受けられます。

高評価の数やコメント数に惑わされずに、しっかり内容を見て判断することで攻撃を防ぐことが出来ます。

ファイルを実行

ダウンロードしたファイルを開くと、パスワードや金銭に関連する情報が抜き取られる「情報搾取型」のマルウェアに感染したり、最近ではウェブの閲覧履歴、SNSのアカウント情報など「個人を特定するための情報」が収集・転送されるケースもあります。

ネットでの一瞬の油断が、現実でも被害を被る可能性がありますので、怪しいサイトや勧誘にはくれぐれもご注意ください。

まとめ

今回はYouTube動画を利用したマルウェア攻撃にAIが悪用されるケースをご紹介しました。

このようなトラブルを生まないよう、サービスを利用するときは違法な手段は使わず、公式サイトからダウンロードすることを強くお勧めします。

最後までご覧頂きありがとうございました。

※ 参考文献 ※

「AIが生成したYouTube動画でマルウェアに感染させるサイバー攻撃が増加」https://news.mynavi.jp/techplus/article/20230314-2624772

「登録者18万人超のYouTubeチャンネルでマルウェアに感染させる攻撃活動、カスペルスキーが確認」https://internet.watch.impress.co.jp/docs/news/1448315.html