YouTubeゴーストネットワークが不気味な手口でユーザーを標的に

出典: Maximum Film vi Alamy Stock Photo

脅威アクターがYouTubeに潜み、侵害されたアカウントに潜伏し、動画を使って無防備なユーザーをマルウェアのダウンロードへと誘導しています。

最近の調査で、Check Point ResearchはYouTubeゴーストネットワークと呼ばれる悪意のあるYouTubeアカウントの集団を発見し、悪質なリンクを宣伝し、さまざまなマルウェアを配布していることを明らかにしました。

ゴーストネットワークは複数のプラットフォームで活動していますが、GitHubを含む、Checkpointの研究者はネットワークに関連する少なくとも3,000本の悪意ある動画をYouTube上で特定しました。その多くはすでに削除されています。このグループは2021年から活動しており、年々コンテンツの量を増やしており、2025年にはその数が3倍に増加しました。

ゴーストネットワークは自前のYouTubeアカウントや動画を使うのではなく、既存のアカウントを侵害し、動画を乗っ取ってマルウェアを拡散する手法を好みます。動画の大半はビデオゲームのチートやハックに焦点を当てており、説明欄に悪意あるリンクが含まれています。

この作戦で侵害されたアカウントには、特定の役割が割り当てられています。例えば、フィッシング動画をアップロードし、視聴者に「ソフトウェア」ダウンロード用の説明を提供する動画アカウント、メッセージを投稿し外部ダウンロードリンクやパスワードを共有する投稿アカウント、悪質なコンテンツに「いいね」や肯定的なコメントを付けて他の視聴者に正当性を装うインタラクションアカウントなどです。

Check Pointの研究者は、動画を通じて配布されている複数のマルウェアファミリーを特定しており、その多くはインフォスティーラー（情報窃取型マルウェア）で、LummaやRhadamanythysなどが含まれます。他にもStealC、RedLine、Odebugや他のPhemedrone亜種、NodeJSローダーやダウンローダーなども確認されています。

研究者によると、ゴーストネットワークはウェブ全体に広く網を張り、被害者を釣り上げることを狙っています。Check Pointのレポートによれば、コンテンツに近づき関与したユーザーは「本質的に自分自身で感染してしまう」といいます。被害者を引き付けるのは、彼らの具体的な問題を解決するためにカスタマイズされたソリューションです。最も頻繁に標的とされるユーザーグループは、ゲームのハックやチート、次いでソフトウェアのクラック、その他のグループ、最後に暗号通貨/トレーディングボットです。

ゲームのハックやチートのカテゴリーで最も標的とされているゲームはRobloxで、月間アクティブユーザーは3億8000万人にのぼります。ソフトウェアクラックや海賊版カテゴリーで最も標的とされている製品はAdobe PhotoshopとLightroomです。Check Pointによれば、最も視聴された悪質な動画はAdobe Photoshopを標的としたもので、約30万回の再生と54件のコメントが集まりました。

さらに巧妙化するゴーストネットワークの攻撃

脅威アクターは依然としてあらゆる手法を駆使していますが、研究者はその配布手法が進化し続け、より高度な戦略や攻撃方法へと絶えず変化していることを発見しています。これら大規模なキャンペーンは、Check Pointの研究者が「新たなパラダイム」と呼ぶもので、脅威アクターが組織的にアカウントを侵害し、偽りの信頼を通じてコミュニティを構築し、環境内のアカウントが削除されても運用を継続する様子を示しています。

「この新しいマルウェア配布手法は成長し、より巧妙化し、一般ユーザーを標的にしても発見が難しくなるでしょう」とCheck Point Researchのグループマネージャー、Eli Smadja氏は述べています。「企業や組織に関しては、従業員には業務専用の機器を提供し、家族と共有しないようにすべきです。」

このようなキャンペーンは今後、企業をより集中的に狙うようになる可能性が高いとSmadja氏は述べています。

「今後、マルウェアを配布する動画やコンテンツは、特定の業界や企業のニーズによりターゲットを絞るようになり、企業の従業員にとってより魅力的になると考えています」と彼は付け加えました。「特定の業界で使われるソフトウェア用の『プラグイン』を共有する可能性もあります。」

これにより、防御側が脅威を緩和または阻止することがさらに困難になります。Check Pointは、セキュリティ研究者、プラットフォーム提供者、法執行機関が連携し、悪質なコンテンツの配布ネットワークを特定し完全に遮断することが不可欠だと述べています。また、個人も非公式または信頼できないソースからソフトウェアをダウンロードすることの脅威を認識し、適切なサイバーセキュリティ衛生を実践して被害に遭わないようにする必要があります。

「ゴーストネットワークに関する我々の調査を公開することで、この新たなマルウェア配布手法によって高い感染率を実現する新興脅威について認識を高めることを目指しています」とSmadja氏は述べています。「他のアカウントから肯定的な反応があっても、それらがボットである可能性があるため、個人は常に注意を怠らず、ソフトウェアは必ず正規のソースからのみダウンロードするようにしてください。」