はじめに
2021 年 7 月 23 日から 8 月 8 日まで、YouTube でオリンピックのライブ配信を偽装するアカウントを定点観測していました。
以下に、確認した内容について記載します。
手順
1. ライブ配信を偽装するアカウントを探す
YouTube において、キーワードに「"LIVE配信" and "第32回オリンピック"」などを指定して検索します。
確認したところ、以下の特徴が見られました。
- 一部の限られたメディアしか許可されていないはずが、個人のアカウントで配信している
- アカウント名に一定の命名規則がある
- インドネシア系(あるいはパプア系)とみられる人名をもとにしたアカウント名が多い
- 1 ~ 2 日経過すると、アカウントが凍結される(すぐに似たような名前のアカウントが新規で登録される)
- アカウントのなかには、チャンネルや動画まで準備したものの、フィッシングサイトのリンクを記載せずに放置されているものもあった
以下はオリンピック期間中(7/23 ~ 8/8)に YouTube で確認したアカウントです。
「Kogoya」で始まるもの
Kogoya Baitara
Kogoya Bernadus
Kogoya Derilene
Kogoya Manus
Kogoya Puer
「Tabisu」で始まるもの
Tabisu Nimbrod
Tabisu Oktopianus
「Tabuni」で始まるもの
Tabuni Aser
Tabuni Elia
Tabuni Herman
Tabuni Jem
Tabuni Kinius
Tabuni Konies
Tabuni Lakius
Tabuni Lince
Tabuni Linius
Tabuni Musa
Tabuni Niel
Tabuni Pelius
Tabuni Takor
Tabuni Yosias
「T」で始まるもの
T Asmiatin
T Ismawati
T Suwar
T Welmina
「LIVE」で始まるもの
LIVE CONCERT
LIVE ON 13
LIVE ON 71
「オリンピック」を含むもの
第32回オリンピック競技大会
東京2020オリンピック閉会式ル
その他
Done Magdalena
Doo Amos
NHK WORLD #JAPAN
Samizu1010
Taep Esebius
ibu kartini
2. ライブ配信を偽装する動画を確認する
YouTube の検索結果において、名前が「Tabuni」で始まるアカウントの動画をクリックします。
オリンピックのライブ配信は放送されておらず、音楽とともに「下のリンクをクリック」と表示されるだけの動画が再生されます。
この画面ではライブ配信を視聴できないため、動画の説明やライブチャットのメッセージから、ライブ配信を視聴できるとするリンク(Bitly の短縮 URL)をコピーしておきます。
なお、リンクが記載されている箇所には、以下の 3 種類が存在しました。
動画の説明
説明の上部に表示されるものと「もっと見る」をクリックすると表示されるものがある
ライブチャット
一般のメッセージとして表示されるものと固定のメッセージとして表示されるものがある
コメント
開催当初の一時期は試行錯誤していたためか、コメント内に記載しているものも見受けられた
3. ライブ配信を視聴するためのリンクを調査する
urlscan.io において、コピーしたリンク(Bitly の短縮 URL)を指定してスキャンを実行します。
4. リンクの遷移先の画面を確認する
念のためブラウザーではアクセスせず、curl コマンドを実行することで画面を確認します。
以下は画面の HTML ソースを一部抜粋したものです。
C:\temp> curl -v "http://onlinehd9.maxprepstv.xyz/tokyo2020.php?live=+%E6%96%B0%E4%BD%93%E6%93%8D%E3%80%8E%E7%AC%AC32%E5%9B%9E%E3%82%AA%E3%83%AA%E3%83%B3%E3%83%94%E3%83%83%E3%82%AF%E7%AB%B6%E6%8A%80%E5%A4%A7%E4%BC%9A%E3%80%8F+%E5%80%8B%E4%BA%BA%E7%B7%8F%E5%90%88%E4%BA%88%E9%81%B8"
* Trying 148.163.67.236...
* TCP_NODELAY set
* Connected to onlinehd9.maxprepstv.xyz (148.163.67.236) port 80 (#0)
(中略)
> GET /tokyo2020.php?live=+%E6%96%B0%E4%BD%93%E6%93%8D%E3%80%8E%E7%AC%AC32%E5%9B%9E%E3%82%AA%E3%83%AA%E3%83%B3%E3%83%94%E3%83%83%E3%82%AF%E7%AB%B6%E6%8A%80%E5%A4%A7%E4%BC%9A%E3%80%8F+%E5%80%8B%E4%BA%BA%E7%B7%8F%E5%90%88%E4%BA%88%E9%81%B8 HTTP/1.1
> Host: onlinehd9.maxprepstv.xyz
(中略)
< HTTP/1.1 200 OK
(中略)
< server: LiteSpeed
(中略)
<a href="https://www.skm5937.com/scripts/un981c6l?a_aid=19d01f4d&a_bid=15d08aec&chan=code20">
(中略)
<a href="https://www.skm5937.com/scripts/un981c6l?a_aid=19d01f4d&a_bid=15d08aec&chan=code20" target="_blank" class="x-domain">
<div class="popup-button">無料アカウントを作成</div> ← ★
</a>
(以下省略)
確認したところ、リンク先の画面でもライブ配信は視聴できず、ライブ配信を視聴するにはアカウントを作成する必要があるようでした。
HTML ソースから、アカウントの登録画面へアクセスすると思われる URL をコピーしておきます。
5. アカウントを登録するためのリンクを調査する
urlscan.io において、コピーした URL を指定してスキャンを実行します。
確認したところ、以下の特徴が見られました。
- アクセスすると、複数回の転送(HTTP ステータスコード 301 ~ 303)が発生する
- アクセスするたびにアカウントの登録画面の種類が変化する
- whois などでドメイン情報を確認するかぎり、フィッシングサイトの運営者の特定に結びつく情報はない
6. SNS でリンクの拡散の有無を確認する
念のため、この URL が SNS などで拡散されていないか確認しました。
Twitter において、キーワードに「www.skm5937.com」を指定して検索します。
以下の 3 つのアカウントがこの URL をツイートしていました。
Boxing Fight (@IrelandCup)
Watch Boxing Live (@Big_Boxing_tv)
Tokyo Olympic Games (@Pdc_darts_2021)
確認したところ、以下の特徴が見られました。
- ボクシングやオリンピック関連を偽装したアカウントのツイートが見られる
- アカウント名の「Ireland Cup」はサッカー関連、「Professional Darts Corporation」はダーツ関連のイベントと推測される
- 過去に他のイベントで利用(悪用)したアカウントを流用している可能性が高い
おわりに
YouTube でオリンピックのライブ配信を偽装するアカウントには、以下の特徴が見られました。
- YouTube のライブ配信機能を利用しているものの、動画には「下のリンクをクリック」などの文言しか表示されない
- ライブ配信を視聴したい場合は、リンクをクリックして他のウェブサイトへアクセスするように促される
- 他のウェブサイトへアクセスしてもライブ配信は視聴できず、アカウントを登録するように促される
- アカウントの登録画面へアクセスして個人情報を入力しても、ライブ配信を視聴できるようにはならない
- 確認したかぎりでは、Visa 以外のクレジットカード番号を入力しても登録完了画面へ遷移することができなかった
以上をもって、一連のアカウントはオリンピックに便乗したフィッシングを目的としていると判断しました。
参考
ドメイン情報などの確認については、以下のウェブサービスを利用しました。