2023年3月、世界有数のテクノロジー系YouTubeチャンネル「Linus Tech Tips」が暗号通貨詐欺配信に乗っ取られました。2段階認証を設定していたにもかかわらず、なぜ突破されたのか——セッションクッキー窃取の全構造を解説します。
「2段階認証を設定していれば安全」——その前提が崩れた瞬間が2023年3月でした。登録者1,500万人超を誇る世界有数のテクノロジー系YouTubeチャンネル「Linus Tech Tips」が、ハッカーに完全に乗っ取られ、イーロン・マスク氏の顔を使った暗号通貨詐欺のライブ配信が数時間にわたって流れ続けました。使われた手法は「セッションクッキー窃取(Cookie stealing / pass-the-cookie attack)」——パスワードも2段階認証コードも不要で、ログイン済みのセッションを丸ごと奪う攻撃です。テクノロジーに精通したプロ集団でさえ被害に遭ったこの手法は、日本でも同様のケースが報告されており、YouTuber・インフルエンサー・ビジネスアカウント運用者にとって他人事ではありません。
33歳・YouTuber
📝 編集部より
上の例は、たまたま運が悪かったのではありません。3つの「やってしまいがちな悪手(あくしゅ)」が重なって起きた、典型的な乗っ取り被害です。それぞれが今回の記事の主旨——「セッションクッキー窃取(せっとう)」とどうつながるのか、一つずつ整理します。ここを押さえると、この先の解説がぐっと読みやすくなります。
つまり、強いパスワードや2段階認証「だけ」では、この攻撃は防げません。では何が有効なのか——その答えを、この記事で順番に解説していきます。
Linus Tech Tips(LTT)はカナダのLinusSebastianが運営するテクノロジー系チャンネルで、2023年3月時点で登録者数1,500万人超。スタッフ数十人を抱えるプロフェッショナルなメディア企業です。そのチャンネルが2023年3月23日(現地時間)、突然乗っ取られました。
| 事件発生日 | 2023年3月23日(カナダ現地時間) |
|---|---|
| 被害チャンネル | Linus Tech Tips(登録者約1,500万人)、Techquickie、TechLinked(関連チャンネルも同時被害) |
| 攻撃者の行動 | チャンネル名をTeslaに変更→イーロン・マスク名義で暗号通貨詐欺のライブ配信を開始→過去動画を非公開・削除 |
| 使用された詐欺手法 | 「暗号通貨を送ると2倍にして返す(crypto doubling scam)」という偽プレゼント配信 |
| 突破された認証 | Googleの2段階認証(2FA)が設定済みだったが無効化された |
| 攻撃手法 | セッションクッキー窃取(Cookie stealing / pass-the-cookie attack) |
| 感染経路 | スポンサー案件を装ったメール添付ファイル(PDF)内のマルウェア |
| 復旧 | YouTubeがチャンネルを一時停止→数時間後に本人へ返還。チャンネル削除は免れた |
攻撃者の狙いと成果
LTT(被害者)が受けた損害と対応
33歳・YouTuber
📝 編集部より
この攻撃を理解するには、まず「なぜ毎回ログインしなくていいのか」という仕組みを知る必要があります。
むずかしい言葉が続くので、まず身近なものに例えてイメージをつかみましょう。鍵になるのは「セッションクッキー」というものです。
🎫 例えるなら、ライブ会場の「リストバンド」
大きな音楽フェスを思い浮かべてください。入口でチケットと身分証を見せて本人確認を受けると、手首にリストバンドを巻いてもらえます。一度これを付ければ、会場を出入りするたびにチケットを見せ直す必要はありません。リストバンドさえあれば、スタッフは「中の人=確認済みのお客さん」として通してくれるからです。
Webサービスもこれと同じです。最初にパスワードと2段階認証で本人確認をすると、ブラウザに「リストバンド」が渡されます。これがセッションクッキー。次からはこのクッキーを見せるだけで、毎回パスワードを打たずに済むのです。
つまりセッションクッキーは、「本人確認がもう済んだ状態」そのものを持ち歩いているようなもの。ここに、この事件のこわさが隠れています——リストバンドを奪われたら、奪った人が「あなた本人」として会場に入れてしまう。パスワードがどれだけ複雑でも、2段階認証を設定していても、リストバンド(クッキー)さえ盗めば、その手続きをまるごと飛び越えられてしまうのです。
| ライブ会場の例え | 実際の仕組み(専門用語) |
|---|---|
| チケット+身分証で本人確認 | = パスワード+2段階認証(2FA)でログイン |
| 手首のリストバンド | = セッションクッキー(session cookie) |
| リストバンドを盗まれる | = クッキー窃取(cookie stealing) |
| 盗んだバンドで本人のフリをして入場 | = なりすましログイン(pass-the-cookie攻撃) |
LTTのビジネスメール宛に「スポンサー提案」として、PDFファイルが添付されたメールが届いた。メールの内容と送信者は正規のスポンサーに見えるよう精巧に偽装されていた(特定の相手を狙い撃ちする「スピアフィッシング」と呼ばれる手口。spear phishing)。
PDFを開いた担当者のPCに、インフォスティーラー(infostealer)と呼ばれる情報窃取型マルウェアが密かにインストールされた。このマルウェアはアンチウイルスソフトの検知を回避するよう設計されており、即座には発覚しなかった。
マルウェアはPCのブラウザ(Chrome等)に保存されているすべてのセッションクッキーを収集し、攻撃者のサーバーへ送信した。Googleアカウント・YouTubeのセッションクッキーも含まれていた。この段階では画面上に何の異変も起きない。
攻撃者は自分のブラウザに、盗んだクッキー(=前ページで説明した「リストバンド」)を取り込む(盗んだクッキーで本人になりすます「パス・ザ・クッキー攻撃」。pass-the-cookie attack)。これだけでGoogleから「認証済みのユーザー」と見なされ、パスワード入力も2FA認証コードの入力も不要でLTTのYouTubeチャンネル管理画面にアクセスできてしまう。
管理画面に入った攻撃者は、チャンネル名をTeslaに変更し、事前に用意していた「イーロン・マスク暗号通貨詐欺」のライブ配信映像をアップロード・公開した。1,500万人の登録者に通知が届き、配信が世界中に拡散した。
「海外の有名YouTuberの話でしょ?」と感じるかもしれません。しかし、この事件と地続きにあるアカウント乗っ取り・なりすまし詐欺の被害は、日本国内で過去最悪を更新し続けています。警察庁が公表した令和6年(2024年)の数字を見てください。
そして「企業や有名人だけが狙われる」わけでもありません。2024年には、上場企業のJVCケンウッドが運営する公式YouTubeチャンネルとX(旧Twitter)が乗っ取られ、ひも付いていたGoogleアカウント内の144件以上の個人情報(イベント参加者のアンケート回答など)が第三者に閲覧可能な状態に置かれた、と公表されています。本記事のLTTとまったく同じ「アカウント乗っ取り→悪用」の構図が、国内でも現実に起きているということです。
狙われるのはYouTubeチャンネルに限りません。企業のSNSアカウント・コーポレートサイトの管理画面・ネットショップの管理パネルなど、ブラウザでログインして使うサービスはすべて同じ手口の標的になり得ます。
編集部
海外の話と思わずにいてください。日本でも同じ手口が確認されています。要点を整理すると、こうです。
セッションクッキー窃取に対して、通常の2FA(SMS認証・認証アプリ)は無力です。では何が有効なのか。現時点で最も効果的な対策を2つ紹介します。
ハードウェアセキュリティキーは、YubiKey・Google Titanなどの物理的なUSBデバイスです。ログイン時に物理的にこのデバイスをPCに接続する(またはNFCでタッチする)ことで認証が完了します。セッションクッキーが盗まれた場合でも、このキーはブラウザのクッキーとは独立して機能するため、pass-the-cookie攻撃に対して大幅に耐性が上がります。
ただし、ハードウェアセキュリティキーはすべてのpass-the-cookie攻撃を完全に防ぐわけではない点に注意が必要です。既存のセッション(クッキー)が盗まれた場合、そのセッションには既に認証済みの状態が含まれているためです。最も効果的なのは、「頻繁なセッションの再認証要件」と組み合わせることです。
Googleが提供する「高度な保護プログラム(Advanced Protection Program)」は、ジャーナリスト・政治家・著名人・企業経営者など、標的型攻撃のリスクが高いアカウントのために設計されたオプションです。主な機能として、①ハードウェアセキュリティキーによる強制認証、②Googleアカウントへのサードパーティアクセスの大幅制限、③アカウント回復プロセスの強化、④Google DriveやGmailの不審なファイルの自動スキャン強化、が含まれます。
🔐 あわせて読む YouTubeの正体は「Googleアカウント」。乗っ取りの大半は、入口の設定6ステップで防げます。 → 🗝️ 次の一手 そもそもパスワードを"持たない"世界へ。クッキーを盗まれても突破されない認証「パスキー」とは。 →YubiKeyなどの物理キー。ログイン認証を物理デバイスに依存させることで、クッキー単独での認証を制限できる。Google・Githubなど主要サービスで対応。
G Suite/Google Workspaceの管理コンソールでセッションの有効期間を短く設定することで、盗まれたクッキーの使用可能時間を制限できる。
スポンサー案件・ビジネス提案のPDF・Excelファイルは、隔離された環境(サンドボックス)で開くか、オンラインスキャン(VirusTotal)で事前確認する運用を徹底する。
SNSアカウント・YouTubeチャンネルの管理に使うPCを日常作業用PCと分離する。管理専用PCではメールの閲覧や添付ファイルの開封を行わない運用が理想。
スポンサー案件を受け取る立場のコンテンツクリエイターは、特に以下の運用を徹底することを推奨します。まず、スポンサー案件の一次窓口を「エディタブル権限のない専用メールアドレス」に限定することです。チャンネル管理者の本メールアドレスを直接公開しない運用にすることで、標的型のスピアフィッシングに利用されるリスクを下げられます。次に、スポンサーから受け取ったファイルは必ずVirusTotalやGoogleのGmailスキャン機能を通じて確認してから開くことです。最後に、YouTube Studioへのアクセスには高度な保護プログラムに登録したアカウントを使用し、管理権限を持つアカウントの数を最小限にすることです。
マルウェアが盗んだクッキーを攻撃者サーバーへ送信する際、NordVPNの「脅威対策Pro(Threat Protection Pro)」を有効にしておくと、既知の悪質なドメインへの通信を自動ブロック。さらにダウンロードしたファイルのマルウェアスキャンも行うため、侵入後の情報流出を防ぐ"もう一段の壁"になります。
導入から有効化までの5ステップ
正直にお伝えします。1Passwordなどのパスワード管理ツールは、すでに盗まれたクッキーの悪用そのものを止める道具ではありません。感染後のクッキー流出は防げない点は、ハッキリお伝えしておきます。
ただし、この事件の"入口"——偽の取引先ページやログイン画面でパスワードを抜き取る「フィッシング」には強力に効きます。1Passwordは登録した本物のサイトでしか自動入力されないため、見た目そっくりの偽サイトでは「入力候補が出てこない」こと自体が"これは偽物だ"という警告サインになります。さらに、クッキー窃取にもフィッシングにも強い次世代認証「パスキー」の保管にも対応しています。
導入から活用までの5ステップ
※あくまで「入口を一つ閉じる」対策です。前述のハードウェアキーやGoogleの高度な保護プログラムと組み合わせて使うのが、いちばん効果的です。
1Passwordを公式サイトで確認する →
33歳・YouTuber
📝 編集部より
LTTのような大規模チャンネルだけでなく、一般のインターネットユーザーも同様のリスクにさらされています。セッションクッキー窃取を行うインフォスティーラーマルウェアは、YouTube・Google・Facebook・銀行・証券会社・暗号資産取引所のクッキーをすべてまとめて収集します。
🔎 まず確認 あなたのメールアドレス、すでに流出しているかも。30秒・無料でできる3つのチェック手順。 → 🎣 侵入を防ぐ マルウェアの入口は、巧妙な一通のメール。プロが必ず見る"7つの見分けポイント"。 →特に注意が必要なのは「仕事のPCと重要アカウントが同じブラウザ」という環境です。ビジネスメールで受け取った添付ファイルを開いた瞬間に、同じブラウザのプロファイルに保存されていたGoogle・銀行・証券会社のセッションクッキーがすべて盗まれる——これが現実に起きる攻撃のシナリオです。特に、在宅勤務でプライベートPCを仕事に使っている場合、リスクはさらに高まります。
📝 編集部より
Linus Tech Tips事件は、「2段階認証を設定していても完全には安全ではない」という事実を世界に示した象徴的な事件です。セッションクッキー窃取(pass-the-cookie attack)は、認証後の状態を丸ごと奪うため、パスワードの強度も2FAの種類も関係なく機能します。
対策の核心は3点:①メール添付ファイルへの徹底した警戒(VirusTotalスキャン・サンドボックス確認)、②重要アカウントへのハードウェアセキュリティキーとGoogleの高度な保護プログラムの適用、③VPNと脅威対策ツールによるマルウェア通信の遮断です。YouTuberだけでなく、SNS・銀行・証券会社をブラウザで管理するすべての人に関係する問題です。
📌 本記事は公開情報・Linus Sebastianの公式解説動画・セキュリティ研究者の分析に基づきます。
セッションクッキー窃取からアカウントを守るための3つの行動です。
📚 主な情報源:Linus Sebastian公式YouTube解説動画(2023年3月公開)、Google Advanced Protection Program公式ページ、CISA(米国サイバーセキュリティ・インフラセキュリティ庁)Cookie theft malware対策ガイダンス(2021年)、各種セキュリティ研究機関の公開レポート。
