ESET/マルウェア情報局
YouTubeで有名アーティストの動画などがクラッキングにより改ざんされた
本記事はキヤノンITソリューションズが提供する「マルウェア情報局」に掲載された「世界的に有名なYouTube動画がクラッキングされる」を再編集したものです
クラッカーたちが、YouTubeで流れる人気ミュージックビデオのタイトルを変え、サムネイル画像を差し替えるという改ざんを行った。
被害を受けたビデオの中には、YouTube史上最高の視聴回数を誇る、ラッパーのダディー・ヤンキーをフィーチャーしたプエルトリコ人歌手ルイス・フォンシの「デスパシート」(Despacito)も含まれている。驚くべきことにこのビデオはこれまで50億回も視聴されているが、サムネイル画像がスペインのテレビドラマ「ラ・カサ・デ・パペル」(La Casa de Papel)(別名「マネー・ハイスト」(Money Heist))の銃を構えた覆面強盗団の画像に差し替えられており、しかも「パレスチナに自由を!」というメッセージが下に添えられている。
クラッカーに標的にされた高視聴数ビデオには、そのほかに、ケイティ・ペリー、シャキーラ、ドレイク、セレーナ・ゴメス、アデル、テイラー・スウィフト、カルヴィン・ハリスのものがある。
被害を受けたビデオに共通しているのは、それらがみな歌手の「ヴィーヴォ」(VEVO)アカウントに載っているという点である。VEVOは大手音楽会社数社が共同で所有しているプラットフォームで、所属アーティストのビデオに表示される広告から収入を得ている。
クラッカーたちは「Prosox」または「Kuroi’SH」と名乗っている。彼らが、YouTubeのこのプラットフォームで見つけた脆弱性を突いて、アップされているVEVOのミュージックビデオを改ざんできたのであれば、彼らがそれだけで満足するという保証はない。ほかの人気ビデオや、例えば、論争の渦中にいる政治家などが投稿するビデオコンテンツも改ざんしたいという誘惑に駆られることさえあり得るのである。
ハッカーの一人がTwitterの投稿で、改ざんは悪意でしたのではなく、「ちょっとふざけて『youtube-change-title-video』というスクリプトを使って『hacked』と書いただけ」と記している。
この一風変わった攻撃は、情報を盗んだり不正リンクをまき散らしたりする本格的な攻撃というより、悪ふざけの類いだったのかもしれない。とはいえ、それがどこにも何の損害も引き起こさなかった、ということにはならない。例えば、改ざんされたビデオは誰かが元に戻さなければならないし、アーティストやレコード会社が、またYouTube自体も、得るはずだった収入を失った可能性を否定できない。
今の時点で、YouTube内部にこの種の弱点が広く行き渡っているというのはありそうにない。しかし、それにしても、クラッカーがどうやってこれほど多くのミュージックビデオを改ざんできたのだろうか。VEVOがしっかりとした教訓を得て、自らのオンラインアカウントをもっと確実に防御しておくことが、最善の策であるように思われる。
[引用・出典元]
The world’s most popular YouTube video has been hacked by Graham Cluley 10 Apr 2018 - 03:54PM