プーチン ウクライナ戦争が始まって以来、YouTubeで東ヨーロッパの情報を視聴することが多くなりました。
戦争状況の他、東ヨーロッパ地域に住んで日本語で情報発信している人のサイト。
その中で、ロシアの隣国、ジョージアに住む「テリちゃん」のYouTubeチャンネルをよく見ています。テリちゃんは、進撃の巨人のアニちゃん風の日本語がとっても上手で美人のYoutuber。主に、ジョージアの文化や日本のアニメ、コメディーへのコメント、戦争勃発後のロシアの隣国の変化、日本への旅行などを情報発信してくれていて、私はコンテンツをとっても楽しみにしています。特に、戦争開始後、一般のジョージア人が被っている被害情報など、他のYoutuberが発信する情報と合わせて視聴すると、日本のTVメディアからは流れてこない情報を知ることが出来て役に立ちます。
そのテリちゃんのYoutubeチャンネルが昨日乗っ取られたと、彼女がレポートしていました。その経緯が興味深かったので、今回、このメモで考察してみたいと思います。
最近の巨大サイトは、アカウント+パスワードのベーシック認証の他、SMSやAuthenticatorとのリンクを利用した二段階認証が普通になっています。二段階認証は単純ではありますが、複製不可能なトークンとリンクされるのでなかなか破れない方式だと思っています。二段階認証を行っているサイト乗っ取りってどうして?
彼女も、ビデオの中で、二段階認証を設定していたと述べています。YouTuberは、MacOSやiPhone上で、動画撮影、編集を行うケースが多く、彼女もこの組み合わせ。この組み合わせなら、安全な環境のはず。ところが、ゲームが大好きで、ゲームプレイのためにWindows PCも使用するとのこと。実際、ゲームプレイしている動画もたくさんアップしてます。ここが穴になったようです。(と、ビデオでも話しています。)また、他サイト連携機能が仇となり、Youtubeアカウントを乗っ取られる = Gmailアカウントも乗っ取られる という二重の被害となってしまったようです。
細かい情報を得ようと、彼女のコンテンツとRyotaさんのLiveをじっくり聞いてだいたいの事情が分かってきました。
サイト乗っ取りまでの経過ですが、テリちゃんは、フォロアー12万人以上のYouTuberなので、メールなどで企業案件のコンタクトがたくさんあるそうです。その中に、釣り目的の偽情報があったらしい。
依頼内容を確認するために、Windows PCで添付ファイルかリンクかはわかりませんが、紹介されたファイルを開いたとのこと。
そのあとで、Youtube/gmailのパスワードが変更されたという、身に覚えがない操作に関するワーニングメールが何度も届いて慌てて確認したとのこと。でも、手遅れだった。これは、乗っ取り犯が本人操作を妨げるためにパスワードを変えたのだと考えられますが、問題は、どうやってログインを完了したか?ってこと。
乗っ取り犯がオーナー以外のPCやスマホから、他人の Gmail/Youtube アカウントへログインしようとすると、二段階認証を求められれます。認証には スマートフォンのGoogleアカウントへの確認 が標準のようで、スマホをオフラインにしている場合は、予備の確認手段が利用される順番。しかし、これが届かなかったって。届かなかったのに、他人にログインされてしまうというのはどういうこと?
初めて使うパソコンでログインしようとすると、必ず二段階認証が発生するので、二段階認証を省略できるテリちゃんのPC環境そのものを乗っ取られたということしか考えられません。偽装メールでバックドアを入れさせて、オーナーが使っているときに、パソコン操作を乗っ取ると気づかれるので、寝静まるまで待ったのか?
ただ、パスワードを変更しないと、オーナーをGoogleアカウントから排除できません。そのためにはパスワードの変更が必要になりますが、オーナーのパスワードを変更したい場合、その時点のパスワードが必要になります。通常これはわからないので、パスワードリセットのためのリンクが必要になります。
Googleの場合は、リクエストすると72時間経過後にパスワードリセット用のリンクが送られてきますので、犯人は3日間ばれないように待ち続けないといけません。Googleは、パスワードリセットがリクエストされたことを知らせるメールが、該当Googleアカウントと、連絡先として設定しているメールアドレス、登録しているSMS電話番号宛にも、全部に届きます。
これらに気づいていれば、パスワードリセットリクエストをキャンセルして、パスワード変更すればブロックできたんでしょうが、犯人はこの警告メールをオーナーよりも先に消去したんでしょうね。Windows上のアカウントを乗っ取っていれば可能。ビデオの中でも、少し前からアカウントの様子が奇妙だったと述べているので、おそらく3日間バレないように待ったんでしょう。
パスワードリセット用のURLを入手できれば、あとは、バックドアを仕掛けたPCの隙を見てGoogleパスワードをリセット。その後は、犯人手元のPCで好きなことができるって話。恐らく、こういう流れで乗っ取ったんだと思います。
結局、ソーシャルを使ったハッキングには、セキュリティー対策ソフトやWindows Updateも役に立たないってこと。メールやチャットメッセージから推薦されたアプリをインストールしちゃダメ。インストールするなら、ソーシャルサイトには絶対ログインしないテスト専用PC(またはテスト専用ローカルログインユーザー)でってことになるんでしょう。
テリちゃんのわきが甘かったところ(というか普通やっちゃう振る舞い)が、いろいろ見えてきました。
- (おそらく)MacとWindowsで同じGmailアカウントを使っていたこと。Winodows用のGoogleアカウントがMacとは別だったら、乗っ取られなかった。
- Googleパスワードリセットリクエストが発行されたことを知らせるメールを、パソコンで受信できるようにしていた点。これが、PCからはアクセスできないメールアドレスでも受信できるようにしていれば、気づけたかもしれない。
- SMS電話番号を登録していなかった?(私が再現テストしたところ、日本ではSMSにも届きました。SMS利用が多いなら、埋もれて見逃したのかも。)
- Googleアカウントにログインする時、二回目以降は二段階認証を省略する設定にしていたこと。(すべてのデバイスで、毎回、二段階認証が必要な設定なら防げたかも。)
などですが、まあ、普通、やっちまうよね。面倒だから。
乗っ取る方も、苦労して他人のアカウントを乗っ取っても、そのあとでやったことが幼稚だから、(多分)ほとんど何も得られなかったと思います。明らかに違和感満載のコンテンツを登録するもんだから、乗っ取りがバレバレ。視聴者が気づいて簡単にYoutubeへレポートしてしまいます。恐らく、アカウントも戻ってくるでしょう。乗っ取った後、何もしていなければ、単純に更新が一時的に止まっているサイトだから、オーナー以外が気づくことはなく、時間が経過すれば収益も乗っ取れたかもしれないのに、余計なことするもんだから、視聴者からレポートがたくさん上がってYoutube側が動いて、アカウントロックしちゃうはず。得られたのはテリちゃんのアドレス帳、過去メールくらいでしょう。嫌がらせレベル。テリちゃん本人にとっては痛い情報だろうけど、犯人の収益にはつながらない。
さて、他人の失敗から得られる教訓。
- 連絡用のメールアドレスを、たくさん登録しておきましょう。
72時間以内にリクエストキャンセルできれば、侵入を許しても、乗っ取りは出来ない。侵入も許さないようにしようとするなら、
- 使い終わったPCは、毎回ブラウザーを閉じて、シャットダウンする。
- Googleへログインするために、スマートホンのidentificatorを使わず、ワンタイムパスワードを使う。
てなことまで行う必要がありそう。手間ですねぇ。Google/Youtubeに限らず、他サイトとの連携は便利だけど、リスクが上がる。
余談ですが、私はジョージアのテリちゃんのチャンネル以外にも、複数、在日本東ヨーロッパ、旧ソ連YouTuberのフォロアーを始めました。日本語で情報発信する外国人YouTuberはたくさんいますが、内容はロシア人が最高だと感じます。なぜ、在日ロシア人YouTuberって、あれだけ日本語が上手なの?そして、まとめ方がとても素晴らしいの。自分の興味と重ならないレジャー系のコンテンツビデオはあまり見ませんが、例えば、今のロシア国内の状況情報なんてTV番組よりも正確だろうと感じます。(数人しか特派員を置けない報道会社よりも、現地の生の声を聴ける現地とコネクションがあるYouTuberの方が強いでしょうね。一人の声では偏りがありますが、複数集まれば信頼できる情報源となる。)そのほか、ウクライナの現地情報を発信しているボグダンさんをはじめ、ウクライナ(とコネクションがある)のYoutuber。モルドバ人。私は、学生時代世界史を全く勉強してこなかったので、今頃になって、頭の中に、世界史と地理のジグソーパズルがちょっぴり構成されてきています。(地球史は好きだけど、どろどろした人間関係ばかり目立つ歴史には全然興味ない。)
戦争が始まるまで、ウクライナやジョージアの正確な位置なんて知らなかったし、南オセチアやトランスニストリアのことなんて、遠い世界でした。東ヨーロッパに住んでいたり、コネクションがあるYouTuberのおかげで日本の北方領土問題程度には知識を詰め込むことが出来ました。感謝。
私が登録している東欧系YouTuberの紹介をしておきます。レクレーション系のコンテンツには好き嫌いがあると思いますが、私はレクレーション系ではなく、日ごろ自分が触れることが無い彼らの出身地市民の意見や、私が持てない視点からのインタビューに触れられるコラボレーション動画に注目しています。
- マリアランド:モスクワ出身のマリアさん、日本在住約10年のYouTuber。恋愛系、コラボ、日本が好き、日本あるある が多いけど、私は、コラボの出身地についてインタビューコンテンツが好き。
- セル チャンネル:日本で俳優、モデル、通訳などの活動をされてきたモスクワ出身、日本在住13年以上身長193cm(プロフィールには189cmと書くこともあったそうな。低い方にサバを読む人、初めて知った)のロシア人男性セルゲイ・クワエフさん。日本に興味があるロシア人の中は、セルゲイを知らない人はいないと言われるくらい。ロシア語で日本を紹介するチャネルを持っていて、そのフォロアーの多さを利用してロシア人にアンケートをした結果を日本語サイトで紹介してくれている。ロシア人が今のロシアの状況をどう感じているか、彼のフォロアーからのコメントが興味深い。(コメント全部が真実とは思わないけど、立場の違いによる意見に触れられます。)また、異なる文化や背景を持つ人とコミュニケーションをとる時の視点の持ち方を学ぶことができます。
- BOGDAN in Ukraine:ボグダン・パルホメンコさんのチャンネル。ウクライナを知り、ウクライナを支援したいなら、このチャンネルをフォローするのが近道。ボグダンさんは、幼少期、関西で育っていて流ちょうな関西弁で話されます。
- Arina Ukraine-アリナ ウクライナチャンネル:キーウ在住の日本好き女性のチャンネル。元々は、日本の文化に触れて一緒に楽しむチャンネルだったようですが、2022年に入ってからのキーウ市内の様子、避難所の様子が日本語で紹介されているビデオがあり、キーウの物価、お店の陳列棚の様子など、TVニュースでは知りえない情報を知ることが出来ます。
- ディアナちゃんねる:ロシア中央部分の大都市出身、関西在住女性ディアナさんのチャンネル。関西なまりで、おそロシアの実体を簡潔に紹介するコンテンツと、主にロシア人YouTuberとのコラボ中心。おそロシア情報を知りたいならこのチャンネルはベスト。
残念ながら、ビデオコンテンツは消化に時間が掛かります。ゆとりがない時は、1.25倍速や1.5倍速で。
追記:
乗っ取られたYoutube側のテリチャンネルは、無事に戻ってきたそうですが、gmail アカウントは戻ってきていないそうです。
YouTube活動、収益という視点からは問題解決でしょうが、メールの方にはアドレス帳とか過去メール、予定表などがあるはずで、ここら辺の情報は犯人に漏れたってことになります。当事者じゃない関係者にとっては、自分のメールアドレスがリークしたわけなので、気分がいいもんじゃないです。他人にも相当迷惑を掛けることにつながるので、アカウント管理は厳重にしないといけません。