メインコンテンツにスキップする

Kaspersky、悪意のあるTorブラウザーインストーラーが人気のYouTubeチャンネルを介し拡散していることを確認

2022年10月13日

サイバー犯罪者は、ダークネットに関する動画の説明欄に悪意のあるTorブラウザーインストーラーへのリンクを張ってマルウェアを拡散し、感染後はコンピューター上の個人データを収集していました。

[本リリースは、2022年10月4日にKasperskyが発表したプレスリリースに基づき作成したものです]

Kasperskyの調査チームは、登録者数18万人を超えるYouTubeチャンネルを介して、悪意のある攻撃活動が行われていることを発見しました。サイバー犯罪者は、ダークネットに関する動画の説明欄に、悪意のあるTorブラウザーインストーラーへのリンクを張ってマルウェアを拡散していました。感染させた後は、コンピューター上の個人データを収集し、完全にコンピューターを制御します。調査チームは、このようなサイバー脅威を回避するために、疑わしい第三者のWebサイトからソフトウェアをダウンロードしないこと、および信頼できるセキュリティソリューションの利用を推奨しています。

調査チームは、YouTube上のダークネットに関する動画の説明欄に設置されていた、マルウェアが隠されたTorブラウザーのインストーラーへのリンクを見つけ、そこから感染した複数の事例を特定しました。このYouTubeチャンネルの登録者数は18万人を超えており、悪意のあるリンクが配置された動画の再生回数は2022年1月に投稿されてから現在までに6万4,000回を超えています。調査チームは、匿名性が特長のTorブラウザーで使われている暗号化通信方式オニオンルーティングから、この攻撃活動を「OnionPoison」と名付けました。

KL-OnionPoison-1 スクリーンショット:動画の説明欄に悪意のあるTorブラウザーインストーラーへのリンクがある(赤枠部分)

この感染の試みに遭遇した大半は、中国のIPアドレスを持つコンピューターでした。中国ではTorブラウザーのWebサイトがブロックされアクセスできないため、多くの個人ユーザーは正規ではない第三者のWebサイトからダウンロードしようとします。このような状況を利用し、サイバー犯罪者は悪意のある活動を拡散することに注力しています。

今回調査チームが解析した悪意のあるTorブラウザーのバージョンは、正規のTorブラウザーよりプライバシー設定が低く、閲覧履歴とWebサイトのフォームに入力する全てのデータが保存されます。また、このTorブラウザーにバンドルされているライブラリーの一つがスパイウェアに感染しており、さまざまな個人データを収集してサイバー犯罪者の指令サーバーに送信します。興味深いのは、多くの情報窃取型マルウェアとは異なり、OnionPoisonの攻撃活動はユーザーのパスワードやウォレット情報ではなく、被害者の身元を判別できるような情報を収集することです。これらの情報は、ブラウザー閲覧履歴、ソーシャルネットワークのアカウントID、Wi-Fiネットワークなど、被害者の身元情報を追跡するために使用されます。

この事実は憂慮すべきで、リスクがデジタルの世界だけでなく実際の生活にも及ぶことになります。サイバー犯罪者は、被害者の私生活、家族や自宅の住所などの情報収集が可能になります。取得した情報を使用して被害者を脅迫するケースもありました。

また、このスパイウェアには、感染させたコンピューター上でシェルコマンドを実行する機能を備えており、サイバー犯罪者が被害者のコンピューターを制御することが可能です。

Kasperskyのセキュリティエキスパート ゲオルギー・クチェリン(Georgy Kucherin)は次のように述べています。「動画コンテンツが主流となり、動画プラットフォームが検索エンジンとして使われることが多くなっています。サイバー犯罪者はこの傾向を利用し、人気の高い動画プラットフォーム上でマルウェアを拡散し始めています。この傾向はしばらく続くとみており、潜在的なあらゆるサイバー脅威から身を守るために、信頼できるセキュリティソリューションの利用を強く推奨します」

同じような悪意のあるサイバー攻撃活動を回避するためには、疑わしい第三者のWebサイトからソフトウェアをダウンロードしないことです。公式サイトが使用できない場合は、第三者のソースからダウンロードしたインストーラーのデジタル署名を調べることで、真正性を確認することができます。正規のインストーラーには有効な署名があり、その証明書に記されている企業名がソフトウェアの開発者と一致するはずです。

・ OnionPoisonの詳細については、Securelistブログ(英語)「OnionPoison: infected Tor Browser installer distributed through popular YouTube channel」でご覧いただけます。

Kaspersky、悪意のあるTorブラウザーインストーラーが人気のYouTubeチャンネルを介し拡散していることを確認

サイバー犯罪者は、ダークネットに関する動画の説明欄に悪意のあるTorブラウザーインストーラーへのリンクを張ってマルウェアを拡散し、感染後はコンピューター上の個人データを収集していました。
Kaspersky logo

Kaspersky について

Kasperskyは1997年に設立された、グローバルなサイバーセキュリティおよびデジタルプライバシーの企業です。これまでに10億台以上のデバイスを新たなサイバー脅威や標的型攻撃から保護しています。深い脅威インテリジェンスとセキュリティの専門知識を生かし、革新性に富んだセキュリティソリューションやサービスを提供することで、世界中の企業、重要インフラ、政府機関、そして個人のお客様を守っています。当社の包括的なセキュリティポートフォリオには、業界をリードするエンドポイント保護製品、専門的なセキュリティ製品とサービス、そして高度なデジタル脅威に対抗するためのサイバーイミューン(Cyber Immune)ソリューションが含まれます。当社は22万社を超える法人のお客様の重要な資産を守る力になっています。詳しくはwww.kaspersky.co.jpをご覧ください。

関連記事 ウイルスニュース