![AMP[アンプ] – ビジネスインスピレーションメディア](https://ampmedia.jp/wp-content/themes/amp01/svg/logo_tw.svg){kind=logo}
INDEX
年々巧妙化する「インフルエンサーなりすまし詐欺」
ソーシャルメディア上の著名クリエイターになりすまし、詐欺を働く犯罪は増加の一途をたどっている。
主にフォロワー数の多いインフルエンサーに商品をアピールしてもらう代わりに報酬を支払う、いわゆる「インフルエンサーマーケティング」はSNS利用の一般化により隆盛を極めた。しかし、2019年あたりから複数の調査により、偽の(なりすまし)アカウントによる被害の状況が徐々に明らかになってきている。
SNS詐欺の古典的な手口といえば、有名なインフルエンサーの名前とプロフィール画像を利用した偽のアカウントを作り、フォロワーに「プレゼントに当選した」などという口実で詐欺サイトに誘導する個人的なメッセージを大量送信するといったものだっただろう。
一方で、2020年にはインフルエンサーマーケティングを利用する各ブランドから、実に16億ドルが有名人の偽アカウントに支払われたというデータもあり、個人だけでなく彼らの影響力を利用しようとするビジネスにとっても被害が大きいことが判明している。
アメリカのジェンナー姉妹やキム・カーダシアン氏といったビッグネームになると、インターネット上に存在するアカウントの半数近くがフェイクアカウントであるとも(もっとも彼女らに関しては、本物の公式アカウントも偽フォロワーが最も多いなどといった調査結果も公表されており、さまざまなフェイクが入り乱れた様相を呈してもいるが)。
こういったブランドや個人を狙った詐欺は、その手口も年々巧妙化し、本物のアカウントであると信じさせるために大量のフォロワーを「購入」したり、24時間で消えてしまうので証拠が残らない「ストーリーズ」機能を利用したり、アカウントを乗っ取った後にそれを「人質」にして金銭や暗号通貨を要求したりと多様な手法が繰り出されている。
各SNSも対策を講じ、啓蒙に励んではいるものの、「いたちごっこ」の感は否めない。
YouTuberなりすまし詐欺の手口
世界最大手のオンライン動画共有プラットフォームYouTubeも例外ではなく、著名クリエイターやそのフォロワーが被害にあうケースが後を絶たない。
米サンフランシスコ発のテックカルチャーメディアWIREDでシニアライターを勤めるLily Hay Newman氏は、「少なくとも2019年から、数千の有名Youtubeチャンネルが乗っ取られ、暗号通貨詐欺の広告をしたり、アカウントが売られたりしている」「YouTubeアカウントに対する攻撃は、そのしつこさと方法の幅広さが際立っている」と警告している。
「それらは全てフィッシングから始まる」と同氏は断言する。
犯罪者はまず、VPN、画像編集アプリ、ウイルス対策ソフトなどの製品を動画でPRすることと引き換えに対価を支払うという、一見普通の企業とのコラボレーションを持ちかける内容のメールを送信する。様々な企業からPRの依頼を受けることが日常的なインフルエンサーは多くの場合、アカウントの精査をすることもなく、リンクをクリックして製品をダウンロードする。
すると、それはメールの中で謳われていたようなアプリではなく、犯罪に利用するためのマルウェア。犯罪者はそのソフトウェアから「セッションクッキー(本来ならブラウザのメモリに記録され、他のデバイスに受け渡すことのできないクッキー)」やパスワードを取得し、簡単にその有名人になりすますことができる。
あとはその知名度を利用して偽暗号通貨などのキャンペーンを広めたり、本人の金融アカウントから資金を抜き取ったり思いのままだ。
YouTubeの親会社であるGoogleは調査により、そのようにYouTubeユーザーに感染させることを目的として作成された1000以上のドメインと、その背後で使用されている15000の電子メールアカウント、「クッキーを抜き取る」ことを目的とした12のオープンソースのソフトウェアなどを特定した。
しかし、主にロシア語のプラットフォームでそうしたハッキングの手法は共有され続けており、2021年5月以降、フィッシングメールを99.6%検出できるようになったGmailに代わって、ハッカーたちはWhatsAppやTelegramといったメッセージアプリを介してYouTuberやその他の利用者たちにアクセスするようになっているという。
利用者(視聴者)を対象にしたこの手の詐欺犯罪は、基本的にはいわゆる「ナイジェリア王子」的にあれこれ口実をつけて金銭(もしくはそれに準じるポイントや暗号通貨など)か個人情報を巻き上げる目的は変わらない。
しかし、入り口となるメッセージの内容が巧妙になっており、「○○に当選した」「いい投資がある」「ブランド品が激安」といったあからさまなフィッシングメッセージの上に、魅力的な異性を装ったアカウントや、ロシアのウクライナ侵攻や新型コロナウイルス流行、暗号通貨の価格暴落などの時事トピック、現実的に見える求人情報など、注意深い人でもふと足元をすくわれそうなトリックを何重にも仕掛けるようになっている。
私たちの多くが目にしたことのあるこういったメッセージは、誤字脱字が多かったり、文法ミスが目立ったりすることが多い。「外国人の犯罪だから」と言ってしまえばそれまでではあるが、これは日本に限ったことではない。
筆者の暮らすオランダでも同様の傾向が見られ、知人のITセキュリティ専門家によると、「そういったメッセージは、その怪しさに気づく人を振るい落とすためにあえて稚拙な文章を使用している。そこに気づかずにアクセスしてくる人なら、その後の詐欺プロセスにも騙されてくれる可能性が高い」とのことだった。
そして、そこに騙される人と騙されない人の白黒を隔てる「ボーダー」はない。そういった比較的リテラシーの低下している状態の対象者を狙った犯罪もあれば、高度な手口を何重にも仕掛けてくるケースもある。私たちすべてに被害に遭う可能性がある。
対策を強化
このような状況の中、YouTubeが6月末に導入した新たなポリシーは、オンライン詐欺対策の強化を念頭に置いたものとなっている。内容は主に3つの新ポリシー。
まず、登録者数の非表示機能の停止。以前は登録者数が少ないチャンネルの一種のプライバシーとして、また逆に「出る杭が打たれる」現象を避けるために隠すことが可能だったチャンネル登録者数。
しかし、新ポリシー後は登録者数は必ず表示され、チャンネルの持ち主の知名度の割に不自然に登録者数が少ないアカウントはまずスパマーだとひと目で分かるように。もっとも登録者数はわりと簡単に「購入」することができるので、各々の投稿された動画のアップロード数との比較などは引き続き求められるところ。
二番目の新ポリシーは、チャンネル名で使える特殊文字の数と種類の制限。なりすましを目的とする犯罪者はしばしば、例えばYouTubeならば「¥ouⓉube」などと特殊文字を利用して、管理者からは発覚しにくく、利用者からは有名人やメジャーなサービスに見えるアカウント名を冠する。特殊文字の利用の制限はこの手口を大幅に減らすことが期待されている。
最後に、コメントモデレーション機能の強化。平たく言って、犯罪・非犯罪を問わずスパマーが投稿する悪質なコメントの管理の厳格化だ。著名YouTuberになりすます手間をかけずとも、彼らの動画のコメント欄には誰でも、どんなメッセージでも残すことができる。以前から視聴数の多い動画のコメント欄に商品や暗号通貨の宣伝を無差別に書き込む手口は一般的だったが、近年それが手が付けられない状態となっていたという。
もちろんYouTubeも機械学習による自動フラグシステムなど様々なツールを用いて対策を講じてはおり、2021年最後の3カ月だけでも9億5000を超えるスパムコメントを削除したという。
しかし、それでもすくいきれないスパムが横行。今年(2022年)初頭から、登録者数1470万人のカナダ人IT系YouTuber・Linus Sebastian氏、同約1600万人のアメリカ人ガジェットレビューYouTuber・Marques Brownlee氏などが、「ここ数カ月コメント欄のスパムがひどい状態になっている」と苦言を呈する動画を投稿し、対策を求めていた。
YouTubeはこれに呼応する形で、春から悪質なコメントをブロックするモデレーション機能をテスト運用。一定の効果が認められたことから、このたび6月に導入した新ポリシーのひとつとして定着することになった。
リアルでの犯罪と同様に、オンラインの犯罪・詐欺にも「完全な根絶」はない。気が遠くはなるが、運営者によるこういった絶え間ない対策が、詐欺被害を「最小限」に食い止めていくのだろう。
文:ウルセム幸子
編集:岡徳之(Livit)
