MENU
  1. ホーム
  2. ニュース
  3. あなたのYouTubeが危ない?3000本以上の動画に潜む「ゴーストネットワーク」の恐るべき手口

あなたのYouTubeが危ない?3000本以上の動画に潜む「ゴーストネットワーク」の恐るべき手口

ニュース YouTube
あなたのYouTubeが危ない?3000本以上の動画に潜む「ゴーストネットワーク」の恐るべき手口

新しいソフトウェアの使い方を学んだり、お気に入りのゲームの裏技を探したりする時、多くの人がYouTubeのチュートリアル動画を頼りにします。そこには膨大な知識が共有されており、私たちはプラットフォームが提供する情報の信頼性を疑うことはほとんどありません。

しかし、その信頼が巧妙な罠として利用されていたとしたらどうでしょう?

最近、セキュリティ企業Check Pointの研究者が、YouTubeに潜む大規模なサイバー攻撃キャンペーンを暴きました。彼らが「YouTubeゴーストネットワーク」と名付けたこの組織は、ユーザーの信頼を悪用して危険なマルウェアを拡散させていました。このネットワークは2021年から活動していましたが、2025年に入ってから悪意のある動画の投稿数が3倍に急増しており、その脅威は急速に拡大しています。

Googleは研究者と協力し、これまでに3000本以上の悪質な動画を削除しましたが、このネットワークの手口は、今後のサイバー攻撃の「設計図」となりうる恐るべき巧妙さを持っていました。攻撃者たちは、どのようにして私たちの警戒心をすり抜けてきたのでしょうか?

目次

攻撃者は孤独なハッカーではなく、組織化された「幽霊」の軍隊だった

今回の攻撃は、個人のハッカーによる散発的な犯行ではありません。背後にいたのは、高度に組織化され、役割分担がなされた「YouTubeゴーストネットワーク」と呼ばれる集団です。彼らの作戦は、驚くほど洗練されており、状況に応じて戦術を変える柔軟性すら持っていました。

ネットワーク内のアカウントは、主に3つの役割を担っています。

  • ビデオアカウント (Video-accounts): マルウェアへのダウンロードリンクを含むチュートリアル動画をアップロードする役割。
  • ポストアカウント (Post-accounts): YouTubeのコミュニティ投稿機能を使い、マルウェアのダウンロードリンクや解凍パスワードを共有する役割。
  • インタラクトアカウント (Interact-accounts): 偽の「いいね!」や肯定的なコメントを投稿し、動画が信頼できるものであるかのように見せかける役割。

このモジュール構造により、一部のアカウントが削除されても即座に別のアカウントで置き換えることが可能です。さらに、このネットワークの適応力の高さは、配布するマルウェアの種類にも表れています。当初は「Lumma Stealer」という情報窃取型マルウェアを主に配布していましたが、その活動が妨害されると、即座に「Rhadamanthys」という別の強力なマルウェアに切り替えました。これは、彼らが単なるアマチュアではなく、目的遂行のためなら手段を選ばない、したたかな組織であることを示しています。

あなたが既にフォローしている「信頼されたチャンネル」が乗っ取られる

攻撃者は、疑わしい新規アカウントを作成する代わりに、はるかに巧妙な手口を選びました。それは、既に多くの登録者を持つ正当なYouTubeチャンネルをハッキングし、乗っ取ることです。

例えば、登録者数約12万9000人の「@Afonesio1」や、登録者数9690人の「@Sound_Writer」といった実在するチャンネルが乗っ取られ、マルウェア拡散の踏み台にされました。

この手口が非常に効果的なのは、私たちがチャンネルを信頼する際に頼りにする「登録者数」や「チャンネルの運営歴」といったシグナルを逆手に取るからです。実際に、乗っ取られた@Afonesio1チャンネルで公開されたAdobe Photoshopのクラック版を紹介する動画は、ユーザーの信頼を悪用し、実に29万3000回も再生されました。

確立されたチャンネルを乗っ取ることで、次の手口である「偽のエンゲージメント」の効果が何倍にも増幅されるのです。

「いいね!」や肯定的なコメントが、あなたを騙すための武器になる

このネットワークの最も悪質な手口の一つは、心理的な操作です。「インタラクトアカウント」を大量に動員し、あたかも多くのユーザーがその動画を支持しているかのような偽の状況を作り出します。

動画のコメント欄は、「完璧に動きました!」「ありがとう!」といった肯定的なコメントで埋め尽くされ、多数の「いいね!」が付けられます。これにより、悪意のあるソフトウェアが安全で効果的なものであるかのように錯覚させられるのです。これは、オンラインで物事の安全性を判断する際に人々が頼る心理的トリガー、「社会的証明(ソーシャルプルーフ)」を悪用した卑劣な手口です。

Check Point社のセキュリティ研究グループマネージャー、Eli Smadja氏は次のように警鐘を鳴らしています。

「役立つチュートリアルに見えるものが、実際には洗練されたサイバー攻撃の罠である可能性があります。このネットワークの規模、モジュール性、そして巧妙さは、脅威アクターが現在、エンゲージメントツールを兵器化してマルウェアを拡散させる方法の設計図となっています。」

マルウェアはスキャンを回避するよう巧みに設計されている

このネットワークが配布するマルウェアは、情報窃取を目的とする「Rhadamanthys」「Lumma Stealer」「Vidar」「RedLine」といった非常に危険なものです。攻撃者は、これらのマルウェアをユーザーのPCに感染させるため、技術的な偽装も巧みに行っていました。

アンチウイルスソフトの無効化を指示

動画や説明文の中で、攻撃者はユーザーにセキュリティソフトを無効にするよう堂々と指示します。その際、次のようなもっともらしい口実を使います。

「一時的にWindows Defenderをオフにしてください。心配ありません、アーカイブはクリーンです。Setup.exeのインストールの仕組み上、Defenderが誤検知することがあります。」

パスワード付きアーカイブの使用

マルウェアをパスワードで保護された圧縮ファイル(.rarなど)に入れることで、多くのセキュリティソフトによる自動スキャンを回避します。パスワードがなければ中身を検査できないため、この古典的な手法は今でも非常に効果的です。

巨大なファイルサイズへの偽装

ファイルに大量の無意味なデータ(パディング)を追加して、ファイルサイズを意図的に約800MBまで巨大化させます。多くのスキャンツールは、パフォーマンス上の理由から一定サイズ以上のファイルの検査をスキップするため、この偽装によって検知を免れます。

主な標的は子供たちとクリエイター

ゴーストネットワークは、特定のユーザー層を狙い撃ちにしていました。彼らが主に標的としたコンテンツは、大きく分けて2つのカテゴリーに分類されます。

1つ目は「ゲームのハック・チート」です。特に人気ゲームRobloxが最も多く標的にされており、これはオンラインのリスクを認識しにくい若年層や子供たちを直接狙った、極めて悪質な手口と言えます。

2つ目は「ソフトウェアのクラック・海賊版」です。コンテンツクリエイターに人気の高いAdobe Photoshopや音楽制作ソフトFL Studioなどが主な標的でした。Check Pointは、このことから「脅威アクターが意図的にこの層(クリエイター)を標的としたキャンペーンを展開している可能性がある」と指摘しています。クリエイターのPCには、価値の高いアカウント情報やデータが保存されている可能性が高いため、彼らにとって格好の標的となるのです。

おわりに

サイバー攻撃者は、もはや単純なフィッシングメールだけに頼ってはいません。彼らは、私たちが日常的に信頼を置いているYouTubeのような巨大プラットフォームそのものを攻撃の舞台に変えつつあります。

2025年に入り、悪意のある動画の投稿数が3倍に急増したという事実は、この脅威が過去のものではなく、今まさに勢いを増していることを示しています。今回の事件が突きつける最も重要な教訓は、もはや再生回数や「いいね!」、肯定的なコメントといったエンゲージメントが、コンテンツの安全性を保証する指標にはならないということです。

普段何気なく見ている「いいね」や肯定的なコメントを、あなたは本当に信じられますか?

参考文献

ニュース YouTube
checkpoint cybersecurity ghost-network google infostealer malware phishing youtube
よかったらシェアしてね!
  • URLをコピーしました!
  • URLをコピーしました!

関連記事

目次