研究者によって「『YouTube』上で確認された最大級のマルウェア作戦の1つ」とされる悪質な動画ネットワークが発見された。
Check Pointの研究者たちは米国時間10月23日、「YouTube Ghost Network」と名付けられた詐欺の実態を明らかにする報告書を発表した。このネットワークは1年以上にわたって追跡されており、YouTube上にホストされた3000本以上の悪質かつ詐欺的な動画がその中心を成している。
このネットワークは2021年頃から活動していたとみられ、動画は継続的に投稿されていたが、2025年にはその数が急激に増加し、3倍以上に膨れ上がっている。
YouTube Ghost Networkの仕組み
このネットワークに含まれる3000本以上の動画は、「高度なマルウェア配布ネットワーク」の一部とされており、視聴者の興味を引くチュートリアル形式のコンテンツが特徴である。内容は、無料またはクラックされたソフトウェア、ゲームのハックやチートなどを提供するというもので、「Adobe Photoshop」「FL Studio」「Microsoft Office」の無料版や、Robloxなどのゲームのハックが特に多く見られた。
動画には分かりやすい手順が添えられており、視聴者は「Google Drive」や「Dropbox」などからパスワード付きのアーカイブをダウンロードするよう指示される。その後、「Windows Defender」を一時的に無効にし、アーカイブ内のファイルを展開・インストールするよう促される。
クラックソフトを使おうとする場合、セキュリティ保護を無効にしたくなる気持ちは理解できるが、これは非常に危険な行為である。実際にファイルを起動すると、ユーザーはマルウェアを実行してしまったことに気づくことになる。
研究チームによれば、このネットワークは情報窃取型マルウェア、例えば「Rhadamanthys」や「Lumma」などの拡散に利用されているという。
さらに、このネットワークは単なる詐欺動画の集合体ではない。詐欺の運営者たちは、偽造されたYouTubeアカウントや乗っ取られたアカウントを使って動画をアップロードするだけでなく、リンクやアーカイブのパスワードを投稿したり、視聴者とやりとりしたりしている。コメント欄には肯定的なフィードバックが並び、クラックやチュートリアルが本物で安全であるかのように見せかけている。
例えば、約12万9000人の登録者を持つ乗っ取られたYouTubeアカウントが、Adobe Photoshopのクラック版を紹介する動画を投稿し、29万1000回以上の再生数を記録している。
さらに、偽のGoogle広告キャンペーンによって、これらの動画へのトラフィックが誘導されている。
Check Pointは「このモジュール構造により、作戦は迅速に拡大でき、アカウントの停止にも耐えられるため、削除作業は複雑かつ継続的なものになる」と述べている。
このような詐欺は他にも存在する。YouTubeのような人気の動画ホスティングプラットフォームは、設立当初から悪意あるダウンロードへ誘導する動画の温床となってきた。
2024年、研究者たちは「GitHub」上でも同様の詐欺を発見している。「Stargazers Ghost Network」と名付けられたこの詐欺では、GitHubのリポジトリーを通じて悪意あるリンクやマルウェアパッケージが配布されていた。偽アカウントがスターを付けたり、フォークしたり、購読したりすることで、リポジトリーを本物らしく見せかけていた。
最近では、「TikTok」も悪用されている。無料ソフトやハックを提供するという内容の動画が投稿されており、手順も示されている。TikTokの場合は「Clickfix」手法が使われており、ユーザー自身に悪意あるコマンドを実行させるよう誘導している。
Google検索を少しするだけで、ゲームのハック、チート、ソフトウェアのクラック、海賊版ソフトのダウンロードを提供するサイトや動画が簡単に見つかる。これらは全て、今回のネットワークの動画コンテンツに共通するテーマである。