セキュリティのたね
MENU
youtube

YouTube著作権通知を装うGoogleアカウント乗っ取り詐欺

sec_seed_admin

YouTubeクリエイターを狙った巧妙なフィッシング詐欺が2026年4月に確認され、セキュリティ企業Malwarebytesが警告を発しています。偽の著作権侵害通知を使ってGoogleアカウントを丸ごと乗っ取る手口で、被害に遭うとGmailやGoogleドライブ、YouTube チャンネルまで一度に奪われる危険があります。日本にも多くのYouTubeクリエイターや視聴者がおり、同様の手口が日本語で展開される可能性は十分にあります。

何が起きたのか?

今回の攻撃は、YouTubeの公式著作権侵害通知(いわゆる「著作権ストライク」)を装ったメールをクリエイターに送りつけることから始まります。受信したクリエイターには、たとえば次のような内容が届きます。

「あなたの動画が第三者の著作権を侵害しています。72時間以内に異議申し立てを行わない場合、チャンネルは停止されます。こちらのリンクから対応してください」

リンクをクリックすると、本物そっくりの「Googleサインインページ」に見える偽サイトに誘導されます。ここで恐ろしいのは、このページが単なるコピーサイトではない点です。攻撃者はYouTube APIなどを悪用し、ターゲットのチャンネルからプロフィール画像・登録者数・最新動画のサムネイルをリアルタイムで引き込んで表示します。つまり、自分だけに向けられた「パーソナライズされた偽ページ」が生成されるのです。

「自分のチャンネル情報が表示されている=本物のサイトのはず」と思い込んでしまうのは無理もありません。Malwarebytesは「セキュリティ意識の高いユーザーでも騙される可能性がある」と明言しています。

ここでGoogleアカウントのID・パスワードを入力した瞬間、情報は攻撃者のサーバーに送信されます。この攻撃はフィッシング(本物そっくりの偽サイトや偽メールを使い、パスワードや個人情報を騙し取る攻撃手法)の一種ですが、個人情報の「パーソナライズ」を悪用する点で従来より格段に巧妙です。

さらにこの攻撃は「フランチャイズ型」で運営されているとMalwarebytesは分析しています。攻撃のための専用プラットフォームが存在し、複数の攻撃者がそれを使い回して、それぞれ別のクリエイターを標的にしてキャンペーンを展開しているのです。組織的かつ大規模な犯罪インフラが背後にあることを示しており、被害が拡大しやすい構造になっています。

アカウントを乗っ取った後、攻撃者はチャンネルを使って詐欺動画を配信したり、登録者に悪意あるリンクを拡散させたりします。過去には大手クリエイターのチャンネルが乗っ取られ、暗号資産詐欺の生配信に悪用されるケースが世界中で報告されています。

あなたへの影響は?

「自分はYouTubeクリエイターではないから関係ない」と思うかもしれませんが、そうとは言い切れません。理由は主に3つあります。

第一に、Googleアカウントは多くの日本人にとって「デジタル生活の中心」です。Gmail・Googleフォト・Googleドライブ・Googleマップ・Googleペイなど、一つのアカウントに膨大な個人情報と資産が紐づいています。アカウントが乗っ取られれば、それらがすべて危険にさらされます。

第二に、動画視聴者も間接的な被害者になり得ます。乗っ取られたチャンネルが詐欺コンテンツを配信したとき、何も知らない登録者がその被害を受けるからです。

第三に、日本語を対象にした類似攻撃は現実に存在します。日本では以前から「Amazonを装った偽メール」や「Apple IDを狙ったフィッシング」が多発しており、手口はよく似ています。今回のような「パーソナライズ型」のフィッシングが日本語版で展開される可能性は十分に考えられます。

また、副業や趣味でYouTubeを運営している日本人クリエイターも増えています。チャンネル登録者が数百人規模の小さなアカウントでも攻撃対象になりえます。「有名人だけが狙われる」という先入観は捨てましょう。

今すぐできる対策

  • 二段階認証(2FA)を必ず設定する
    二要素認証(2FA)(パスワードに加え、スマートフォンへの通知や専用アプリのコードなど、2つ目の確認手順を要求するセキュリティ機能)を設定していれば、万が一パスワードを盗まれても、攻撃者はアカウントにログインできません。Googleアカウントの設定画面→「セキュリティ」→「2段階認証プロセス」から設定できます。できれば認証アプリ(Google AuthenticatorやAuthyなど)を使うとより安全です。
  • メール内のリンクは直接クリックしない
    著作権侵害や規約違反に関するメールが届いても、メール内のリンクは踏まないようにしましょう。必ずブラウザのアドレスバーに直接「studio.youtube.com」と入力してYouTube Studioにアクセスし、本当に通知が届いているか確認してください。本物の通知はYouTube Studio内の「通知」アイコンにも表示されます。
  • URLを必ず確認する
    偽サイトのURLは「google.com」や「youtube.com」ではなく、「g00gle-support.net」「youtube-notice.info」のような紛らわしいドメインを使っています。ログインページが表示されたら、アドレスバーのURLが「accounts.google.com」であるか確認しましょう。鍵マーク(SSL)があっても安全とは限りません。
  • パスキーへの移行を検討する
    Googleは現在、パスワードの代わりに「パスキー」という新しい認証方式を提供しています。パスキーはフィッシング攻撃に対して根本的に強く、偽サイトでは機能しない設計になっています。Googleアカウントの設定→「セキュリティ」→「パスキー」から設定できます。
  • 不審なメールは公式サポートに問い合わせる
    「これは本物の通知か?」と少しでも迷ったら、メールに返信したりリンクを踏んだりせず、YouTubeのヘルプセンター(support.google.com/youtube)から直接問い合わせましょう。

まとめ

今回の攻撃は、あなたのチャンネル情報を使ってリアルに見せかけた「パーソナライズ型フィッシング」という点で、従来の偽メール詐欺より格段に巧妙です。Googleアカウントを守ることは、メール・写真・支払い情報など現代のデジタル生活全体を守ることに直結します。まず今日、Googleアカウントの二段階認証が有効になっているか確認するところから始めてください。

📚 参考・引用情報

記事情報源日付
Fake YouTube copyright notices can steal your Google login🇺🇸 Malwarebytes
Stefan Dasic		2026/04/15

ABOUT ME
じゅげむ360
じゅげむ360
SecInfo編集部Admin
Cyber Security Consultant (CISSP) 小規模組織のIT担当者と個人向けにサイバーセキュリティ情報を発信しています。わかりやすく・すぐ使えることをモットーに
記事URLをコピーしました