【雑記】Googleアカウント乗っ取られ事件の経緯

はじめに：お騒がせしました

https://ci-en.net/creator/14852/article/1355157
こちらの記事で書いた通り、私のGoogleアカウントが乗っ取られていました（現在は復旧済み）。
ご迷惑とご心配をおかけして申し訳ありませんでした……。
本記事では 憂さ晴らしのために その経緯と詳細および原因について記しています。第１章で乗っ取られ～解決までの具体的な経緯、第２章で偽装業者を信用してしまった原因、第３章で偽装と気づけたはずのポイントについて書いてあります。
もしGoogleアカウントの乗っ取り被害に遭ってこのページにたどり着いた方がいたら、【1-4. 復旧】をご覧ください。

みなさまのセキュリティ対策のお役に立てば幸いです。

乗っ取られ～解決までの概略

・謎の人物からコラボの誘いを受ける
→「契約書に同意するために必要なソフト」をダウンロード、起動
→💥感染💥
→Googleアカウントに不正ログイン、乗っ取られ
→YouTubeサポートチームに連絡、なんやかんやで復旧

1. 経緯：どのように40Nixのアカウントが乗っ取られましたか？

具体的な経緯について説明します。

1-1. 感染以前：不審な人物からの連絡

2025/2/1、某飲料メーカーのマーケティングマネージャーを名乗る人物から、TwitterにDMが届く（原文は英語、40Nixが意訳）。

40Nixさん、こんにちは。〇〇のマネージャーを務めております〇〇と申します。新商品の発売開始に伴い、40Nixさんとコラボさせていただきたいと考えているのですが、少々お時間いただけますでしょうか。

2/2、これに対し「興味があるので詳細を聞かせてほしい。あとどこで私のことを知ったのか教えてほしい」と返信すると、次のような返信が。

Windows効果音で作曲した動画を見ました！次のリンクに同意書がありますので電子署名をお願いします（閲覧用の認証コードはxxxx-xxxx-……です）。署名が確認できたら、詳細をお伝えします。

（Windows効果音で作曲した動画↓）
https://x.com/40nixM/status/1876584984859025658

2/5、素直にリンクを踏み、コードを入力して同意書を確認。署名を行おうとすると専用のアプリのインストールが必要とのことなので、画面の指示に従ってインストーラーをダウンロード。

起動。

1-2. 💥感染💥：不正ログインへ

インストーラーを起動しても何も表示されず、何も起こらない。
おかしいなーと思いながら待っていると、Windows Defender が「トロイの木馬」などの「重大」レベルの脅威をい～～っぱい検出。
ただちに対応。ビックリしたけどとりあえず対処できたっぽいからひと安心……。と思いきや、よく見たら次のような表示が。

脅威が見つかりました - 対処が必要です。
状態：アクティブ
アクティブな脅威な軽減されておらず、お使いのデバイスで実行されています。

おいおいおいおいおいおい まだおいおい ウイルスがおいおい
『元気に活動』してるってことかあああ～～～っ？よォ～～～ッ！！

対処法をググり、「オフラインスキャン」を実行。再起動すると、とりあえず対処できたっぽい。
しかし手遅れ。スマホのバイブが止まない。不審なログインの通知、Gmailにパスワード変更・２段階認証（バックアップコード、電話番号、セキュリティキー）の削除と変更・再設定用のメールアドレスと電話番号の設定の通知。
ただちに設定を戻すべくログインしようとするも、「パスワードが違います」。
べ、別の方法で……「電話番号 xxx-xx-xx-xx に確認コードを送りました」。私の番号じゃあない！

完全に乗っ取られた。

実際の通知メール。こんなのがいっぱい届いた

1-3. 乗っ取られ直後

なんとかしようとGoogleヘルプページを見て試せることは試した。
Google アカウント ヘルプ - アカウント復元手順を完了するためのヒント

できるだけ多くの質問に答える
質問をスキップしないでください。答えがよくわからない場合は、別の質問を選ぶのではなく、最適だと思われる答えを推測してください。

「質問」とは、パスワードや２段階認証（電話番号に認証コードが届く）のこと。これらの情報はすでに攻撃者によって変更されているので、私にはどうしようもない。上のページには「最適だと思われる答えを推測してください」と書かれているが、推測できようもんか。
「以前設定されていた再設定用のメールアドレス」宛に認証コードを送ることもできたが、それを認証した先で電話番号による認証が求められるので、結局ログインできず。

この時点でアカウントの復旧は無理なものと諦め、すっかり絶望。パスワードマネージャーもいかれてるはずなので、変更できるアドレスやID、パスワードをひたすら変更。
むりやり心機一転して新しいGoogleアカウントとYouTubeチャンネルを開設。
ドキドキしながら就寝。もちろん寝れず。

翌朝、乗っ取られた40Nixのチャンネルを見ると、ビットコインに関する変な生配信が行われていた。
（配信のスクショをここに載せようと思ったけどガチでキショい思い出がよみがえってくるので省略）
も～～～～ほんとに萎える。今思い出しても萎える。

1-4. 復旧

せめてYouTubeチャンネルの停止だけでも、と思い調べているとこんなYouTubeヘルプページにたどり着いた。
ハッキングされた YouTube チャンネルを復元する

YouTube から追加のサポートを受ける
チャンネルが資格要件を満たしている場合（YouTube パートナー プログラムに参加しているなど）、Google アカウントの復元後、YouTube クリエイター サポートチームまでお問い合わせください。
クリエイター サポートの対象でない場合は、X（旧Twitter）で @TeamYouTube　までお問い合わせください。

YouTubeクリエイターサポートチームへの連絡はYouTubeへのログインが必要だった。それができない状況だったため、藁にも縋る思いでTwitterアカウントに連絡。DMに繋いでもらい、さらにYouTubeクリエイターサポートチームの担当者の方にメールで繋いでもらった。
（この間にYouTubeで行われていた配信に視聴者から複数のスパム報告が行われたようで、YouTubeチャンネルが停止（いわゆるBAN）されていた。報告してくださった方、ありがとうございます）
サポートチームの調査によりアカウントのハイジャック（乗っ取りのこと）の事実が確認され、続いて復旧作業を行ってもらった。

悪質すぎ

2/5 に乗っ取られて、3日後の 2/8 に完全に復旧した。その間気が気じゃないし、ろくに寝れないし、身も心も相当シナシナになった。未だにスマホのバイブが鳴ると不正ログインの通知なんじゃあないかと少しビビってしまう。マルウェアも処理はされたらしいけどまだなんかくすぶっているような気がして、も～ほんと嫌。ご飯奢ってほしい。

2. なぜ信用してしまいましたか？

今見返すと「新商品の発売でコラボさせていただきたく……」っていう時点でだいぶ怪しいですよね……。しかしこの人物はなかなか手の込んだ偽装をしていたので、感染するまで気づくことができませんでした。

• 最初に送られてきた文面が丁寧だった（私が英語に慣れていないからそう見えただけかも）
• この人物のアカウントに10,000名以上のフォロワーがいた
• その飲料メーカーの公式アカウントのツイートを頻繁にリツイートしていた
• プロフィールにLinkedin（ビジネス特化のSNS）のリンクが貼ってあり、経歴などが具体的に書かれていた。Linkedin内のフォロワーも300名弱いた
• DMでこちらのメッセージに対する返事がちゃんと来た
• 電子署名サービス「Zoho」を装ったサイトページの作りがとにかく凝っていた
  「Zoho」というサービスをこの件で知ったのですが、Microsoft officeのようなビジネス向けのいろいろなアプリを開発・運営している会社のようです。その中に「Zoho Sign」という電子署名のサービスがあり、今回私が誘導されたのはそれを丁寧に真似て作られた偽サイトでした。

  ぱっと見偽物とは気づかない

  
  実際に送られてきた「認証コード」とURL。リンク先は本記事作成時点で消滅していました。

コードを入力して先へ進むと、ちゃんとした契約書の形式の文書（pdf）がダウンロードでき、「電子署名はこちら：初めての方／署名をしたことがある方」というボタンが表示されました。「初めての方」をクリックすると「ZohoApp」というインストーラーに見せかけたマルウェアがダウンロードされてしまった、というわけです。
Zohoに使い慣れている人だったら違和感に気づけたかもしれませんが、サイトのデザインがいかにもありそ～～な感じだったり、ページ上部のロゴは本物のZohoのホームページにリンクされていたりと、かなり丁寧な偽装が施されていて、偽サイトと気づくのは難しかったです。

さらに、これは個人的な要因ですが、間の悪いことに、そろそろ音楽のお仕事募集してみようかな～と考え始めたタイミングで例のDMが届いたのです。
「40Nixのメジャーデビュー、いっちょやったりますか！」
と意気揚々と引っかかったわけですね。あまりにも情けない……本当に悔しい！！

3. ここで気づけたでしょポイント

被害を受け、マルウェアだとわかってから、この人物や偽サイトなどをよく観察すると、「ここで気づけたでしょ」という要素がたくさんありました。

• Twitterのアイコン画像
  　…別の人物の Facebook の写真のパクリ（画像検索により判明）
  　…Linkedinのアイコンの人物と明らかに別人
• Twitterの過去の投稿
  　…むかーーしまで遡っていくとただの一般ユーザーのつぶやきしかない。ある時点を境に公式アカウントのリツイートしかしなくなっている
  　（過去の投稿はすべてスペイン語。ログイン履歴によると不正な操作はすべてスペインから行われていた。てめえッ！ハッキリしたぜッ！「てめー」だなオレの『アカウント』ドロボーしやがったのはああ～～～っ）
• Twitter上で「こいつ」のIDで検索すると「偽物だから気をつけな」という注意喚起のツイートが出てきた
• ダウンロードしたソフト「ZohoApp.exe」のプロパティ
  　…「製品名」と「発行元」が「starcraft2」、「blizzard entertainment」（「Zoho」とは全然関係ないゲームのソフト名・ゲーム制作会社名）
• DMで「コラボ」の詳細を聞こうとしても「まずは署名、詳細はそのあと」と後回しにされた
  　…そんな順番ってあるか？

幼少からのインターネット小僧の自負があった私がこんなちょろい罠に引っかかるなんて、忸怩たる思いというやつです。くそーっ

おわりに

乗っ取られたよーとツイートした途端に色んな知らないアカウントから「すぐこの人（アカウント復旧の専門家を装ったアカウント）に連絡して！」という悪質なリプや引用リツイートが届いて、人の弱みにつけ込みやがってえ～～～！！と、このときばかりは憤怒しました。
あと、そもそもハイジャックをするなというのは前提として、YouTubeチャンネル乗っ取ってやることがビットコインの宣伝かい！！どうせならもっと無茶やって派手に暴れてくれよ！！と思いました。
さらにこの事件が収まった直後、オンライン講座「Udemy」の広報担当を名乗る人物から同様のDMが届きました。こりごりです。（こっちの人物は偽装がすごい雑でした）

YouTubeサポートチームとのやり取りの中で「コラボの誘いを受けたりしましたか？」という質問があったので、この手の詐欺はけっこうよくあるんでしょうね。やめな？

最後に、重ねて不快な思いをされた方にはお詫び申し上げます。
ここまで読んでくださってありがとうございました。
みなさんもくれぐれもお気をつけて。

今後とも40Nixと三香白茶館をどうぞよろしくお願いします。

ちなみに

慌てて作った新規のYouTubeチャンネルはイラストのタイムラプスなどを投稿するサブチャンネルとして活用する予定です。ご興味あれば。
▶40Nix - Resort
https://youtu.be/gr7hfIwrOh8?si=_mgd1xi3ZHRcQQSa