Google、クラックソフトを装ったマルウェアを拡散した3,000本のYouTube動画を削除

Googleは、クラックソフトやゲームチートを装ってひそかにパスワード窃取型マルウェアを拡散していた数千本のYouTube動画を削除しました。

Check Pointの研究者によると、いわゆる「YouTubeゴーストネットワーク」は正規のYouTubeアカウントを乗っ取り、武器化して、PhotoshopやFL Studio、Robloxのハックの無料コピーを約束するチュートリアル動画を投稿していましたが、実際には視聴者をRhadamanthysやLummaなどのインフォスティーラーをインストールさせるよう誘導していました。

このキャンペーンは2021年から続いており、2025年には悪質な動画の数が過去数年と比べて3倍に急増しました。Check PointがGoogleと協力して、YouTubeでこれまでに見られた中で最も大規模なマルウェア配信作戦の一つと呼ぶものを解体したことで、3,000本以上のマルウェア混入動画がプラットフォームから削除されました。

Check Pointによれば、ゴーストネットワークは数千の偽アカウントや乗っ取られたアカウントが連携して、悪質なコンテンツを正規のものに見せかけていました。あるアカウントは「チュートリアル」動画を投稿し、別のアカウントはコメント欄に賞賛や「いいね」、絵文字を大量に投稿して信頼感を演出し、さらに別のグループが「コミュニティ投稿」でクラックソフトのダウンロードリンクやパスワードを共有していました。

「この作戦は、視聴数や『いいね』、コメントといった信頼のシグナルを利用し、悪質なコンテンツを安全に見せかけていました」とCheck Pointのセキュリティリサーチグループマネージャー、Eli Smadja氏は述べています。「一見役立ちそうなチュートリアル動画が、実は巧妙に作られたサイバー罠であることもあります。このネットワークの規模、モジュール性、巧妙さは、脅威アクターがどのようにエンゲージメントツールを武器化してマルウェアを拡散しているかの手本となっています。」

一度引っかかった被害者は、通常アンチウイルスソフトを無効化するよう指示され、その後DropboxやGoogle Drive、MediaFireにホストされたアーカイブをダウンロードさせられます。その中身は約束されたプログラムの動作版ではなくマルウェアであり、開封するとインフォスティーラーが認証情報や暗号資産ウォレット、システムデータを遠隔のコマンド＆コントロールサーバーに送信します。

12万9,000人の登録者を持つ乗っ取られたチャンネルの一つは、Adobe Photoshopのクラック版を投稿し、約30万回の再生と1,000件以上の「いいね」を集めていました。別の動画は暗号資産ユーザーを標的にし、Google Sitesにホストされたフィッシングページへ誘導していました。

Check Pointがこのネットワークを追跡する中で、運営者たちはペイロードやダウンロードリンクを頻繁に入れ替え、削除対応を上回るスピードで再生産できるレジリエントなエコシステムを作り上げていることが判明しました。

Check Pointによると、ゴーストネットワークのモジュール設計（アップローダー、コメント担当、リンク配布担当）は、キャンペーンを何年にもわたり持続させることを可能にしていました。この手法は、同社が「Stargazers Ghost Network」と呼ぶGitHub上の別の作戦を模倣しており、そこでは偽の開発者アカウントが悪質なリポジトリをホストしています。

悪質な動画の多くは海賊版ソフトを宣伝していましたが、最大の誘因はゲームチート、特に月間アクティブユーザーが推定3億8,000万人のRoblox向けのものでした。他にもMicrosoft OfficeやLightroom、Adobeツールのクラック版を謳う動画もありました。「最も再生された」悪質な投稿はPhotoshopを標的とし、Googleのクリーンアップ作戦前に約30万回再生されていました。

2025年の急増は、マルウェアの配布手法が大きく変化していることを示しています。かつてはフィッシングメールやドライブバイダウンロードが主流でしたが、現在は攻撃者が主流プラットフォームの社会的信用を悪用し、ユーザーの警戒心をすり抜けています。

「今の脅威環境では、人気がありそうな動画もフィッシングメールと同じくらい危険になり得ます」とSmadja氏は述べています。「今回の削除は、信頼されたプラットフォームであっても武器化を免れないことを示していますが、同時に適切なインテリジェンスとパートナーシップがあれば対抗できることも証明しています。」

Check Pointは、このネットワークの運営者が誰なのかについての確たる証拠は持っていません。現時点での主な受益者は金銭目的のサイバー犯罪者と見られますが、国家支援グループが同じ手法や動画コンテンツを使って高価値ターゲットを引き寄せる可能性もあるとしています。

YouTubeゴーストネットワークの台頭は、オンラインのマルウェア業者が迷惑メールの餌からどれほど進化したかを浮き彫りにしています。今回はゴーストが祓われたかもしれませんが、エンゲージメントが新たな攻撃経路となった今、次の脅威はクリック一つ先に潜んでいます。®