セキュリティ企業の米ウェブセンスは2008年9月23日、動画投稿サイト「YouTube」を悪用して、悪質なWebサイトへ誘導する新たな手口が確認されたとして注意を呼びかけた。攻撃者はYouTubeのアカウントを実際に取得し、その「個人プロフィール」ページ経由で悪質サイトへ誘導することが特徴。

 YouTubeには、ほかのユーザーにYouTubeを紹介するための「友だちを招待(Invite Friends)」機能がある。この機能を使えば、招待したユーザーの「個人プロフィール」へのリンクや招待メッセージなどが記載された「招待メール」が、YouTubeから相手に送信される。

 YouTubeはほとんどのユーザーが知っている有名サイト。このため、この招待メールに見せかけた迷惑メールがここ最近多数出回っている。YouTubeから送られたメールだと思って、メール中のリンクをクリックすると、ウイルスや“不適切な”コンテンツが置かれたWebサイトへ誘導されてしまう。

 今回ウェブセンスが報告したのは、こういった偽招待メールの“発展型”。従来の偽メールは、リンクをクリックすると悪質サイトにいきなり誘導される。しかし今回の偽メールでは、本物の招待メールと同様に、YouTubeサイトの個人プロフィールページに誘導される(図1)。このプロフィールページは、攻撃者がYouTubeのアカウントを取得して、実際に開設したもの。

 プロフィールページの「プロフィール画像」には女性の写真が貼られていて、その女性のものとするWebサイトのURLなどが記載されている(図2)。そして“誘い文句”とともに、そのURLにアクセスするよう促す。そのURLが、悪質サイトのURL。誘いに乗ってクリックすると、アダルト関連の商品やサービスを提供するサイトへ誘導される(図3)。ウイルスなどが置かれたサイトへ誘導される危険性もあるという。

 今回のように、有名なWebサイト(サービス)を悪用したり、その名前をかたったりする迷惑メールは後を絶たないとして、ウェブセンスではだまされないよう警告している。