GLASSBRIDGE を通して見る: 中国寄りの影響力作戦を広めるデジタル マーケティング エコシステムを理解する
Google Threat Intelligence Group
※この投稿は米国時間 2024 年 11 月 23 日に、Google Cloud blog に投稿されたものの抄訳です。
この分析への貢献に際し、Mandiant の Ryan Serabian 氏に特別に感謝します。
このブログでは、 GLASSBRIDGE という組織について詳しく説明します。 GLASSBRIDGE は、 Google の脅威インテリジェンスグループ( Google Threat Group : TAG )と Mandiant で構成)によって追跡されている、偽のニュースサイトとニュースワイヤーサービスのネットワークを運営する 4 つの異なる企業の総称です。これらの企業は共同で、数十カ国からの独立したニュースサイトを装った数百のドメインを一括して作成および運営していますが、実際には中華人民共和国( PRC )の政治的利益に沿ったテーマで、類似、かつ信憑性のないコンテンツを公開しています。 2022 年以降、 Google は、欺瞞的な行為を禁止し、編集の透明性を要求する Google ニュース のポリシーに違反したため、 GLASSBRIDGE が運営する 1,000 以上の Web サイトを Google ニュースの機能と Google Discover に表示されないようにブロックしました。
私たちは、これらのサイトを作成してコンテンツを公開するサービスを誰が雇ったのかは特定できませんが、これらの企業は、模倣ニュースサイトを介した中国寄りのコンテンツの配信をアウトソーシングした、共通の顧客から指示を受けている可能性があると評価しています。
これらのキャンペーンは、民間の広報( PR )会社が連携した情報キャンペーンを実施しているもう 1 つの例です。このケースでは、中国の見解や政治的アジェンダに沿ったコンテンツを、世界中のオーディエンスに向けて拡散しています。民間の PR 会社を利用することで、情報作戦( IO )の背後にいる脅威アクターは、連携した信憑性のないコンテンツの拡散における役割を曖昧にし、もっともらしい否認可能性を獲得します。
基本事項
これらの真偽不明のニュースサイトは、ニュースワイヤー、シンジケーション、マーケティングサービスを提供する少数の独立したデジタル PR 会社によって運営されています。彼らは独立した報道機関を装い、中国国営メディアの記事、プレスリリース、その他の PR 会社のクライアントから依頼されたと思われるコンテンツを再配信しています。場合によっては、合法的な報道機関からコピーされたローカライズされたニュース・コンテンツを掲載することもあります。また、 TAG が最も多く追跡している IO 脅威アクターである DRAGONBRIDGE のコンテンツが、こうしたキャンペーンで流布されていることも確認されています。
後述する 4 つの PR 会社はそれぞれ別個のものですが、一度に数十のドメインを一括作成し、テーマ的に類似した不正なコンテンツを共有するという、類似した方法で活動しています。一連の正規ではないニュース・ドメイン名に基づいて、 PR 会社は中国国外のオーディエンス(オーストラリア、オーストリア、チェコ、エジプト、フランス、ドイツ、ハンガリー、ケニア、インド、インドネシア、日本、ルクセンブルク、マカオ、マレーシア、ニュージーランド、ナイジェリア、ポーランド、ポルトガル、カタール、ロシア、サウジアラビア、シンガポール、韓国、スペイン、スイス、台湾、タイ、トルコ、米国、ベトナム、中国語を話すディアスポラ)をターゲットにしています。
ニュースワイヤーサービスの利用はすべてのキャンペーンに共通する戦術であり、 PR 会社のうち 2 社がニュースワイヤーサービスを直接管理・運営しています。
GLASSBRIDGE は、偽のニュース コンテンツを配信する企業とニュースワイヤー サービスのエコシステム
最も活発な組織: Shanghai Haixun Technology (上海海讯社科技)
親中国的な IO キャンペーンを支援する PR およびマーケティング会社の中で、最も盛んなのはShanghai Haixun Technology ( Haixun ) です。 TAG が Haixun の追跡を初めて以来、 Google は同社にリンクする 600 以上のポリシー違反のドメインを Google ニュース機能に表示される機能から削除しました。これらのサイトは、英語および中国語を話すオーディエンス、ならびにブラジル、インド、日本、ケニア、韓国、マレーシア、サウジアラビア、シンガポール、スペイン、ロシア、タイ、カタール、ベトナムといった多くの国のオーディエンスをターゲットにしています。 Google はまた、同グループに関連するポリシー違反の YouTube チャンネルを限定的に閉鎖しました。
2023 年 7 月、 Mandiant は Haixun が Times Newswire と World Newswire の両方を使用して、合法的なニュースアウトレットのサブドメインに親北京のコンテンツを掲載していることを特定しました。 Mandiant はまた、 Haixun が Fiverr のようなフリーランスサービスを利用して、親北京のコンテンツを宣伝するためのソーシャルメディアアカウントを募集していることも確認しました。
Haixun の真偽不明のニュースサイトは概して質が低く、ドメイン上のコンテンツの多くはスパム的で反復的です。メタバースなどのトピックに関する「フィラー」、つまり中身のない記事に混じって、中国政府の見解に政治的に沿ったニュースコンテンツが掲載されています。これには、中国国営のメディアである『 Global Times (環球時報)』の記事や、南シナ海における北京の領有権主張、台湾、 ASEAN 、法輪功、新疆ウイグル自治区、 Covid-19 のパンデミックに関する中国政府の一般的な論調に沿ったものが含まれます。
中国政府の要点、 Global Times の記事、メタバースに関するコンテンツなど、さまざまなコンテンツが含まれる Haixun の真偽不明のニュース
Times Newswire と Shenzhen Haimai Yunxiang Media (深圳海米雲翔媒体)
2024 年 2 月、私たちはシチズン・ラボが「 PAPERWALL 」として報告した、現地の報道機関を装った 30 以上の国における 100 以上の Web サイトのネットワークを運営する親中国派の組織的影響力キャンペーンに関連するポリシー違反のドメインを Google ニュースに表示される機能から削除しました。偽ニュースサイトは、中国国営メディアから再掲載された記事とともに、合法的な現地ニュースからコピーされたローカルなニュースコンテンツを掲載し、さらにプレスリリース、陰謀論、特定の個人を標的にした名誉毀損攻撃も行っていました。
技術的な指標に基づき、 TAG は、これらの真偽不明のニュースサイトは、 Haixun の代理としてコンテンツを配信しているニュースワイヤーサービスの一つである Times Newswiere によって直接運営・管理されていると判断しました。 TAG は、 Times Newswire は別の中国メディア企業である Shenzhen Haimai Yunxiang Media (以下「 Haimai 」)によって運営されていると考えています。 Haimai はグローバルメディアコミュニケーションと海外ネットワーク促進を専門とするサービスプロバイダーであると自らを売り込んでいます。
陰謀論や中傷コンテンツで表明された見解は、過去の中国寄りの情報作戦キャンペーンと類似していました。たとえば、中国のウイルス学者である閻 麗夢 氏に対する人格攻撃や、米国が人間に対して生物実験を行っているという主張などです。特定の人物を標的にした中傷コンテンツの多くは一時的なもので、偽ニュースサイトに短期間掲載された後、削除されました。
DURINBRIDGE
中国寄りの情報作戦キャンペーンに関連するコンテンツを配信している民間企業のもう 1 つの例として、 DURINBRIDGE があります。これは、ニュースや広報サービスを提供する複数の子会社を持つテクノロジーおよびマーケティング会社を追跡するために私たちが使用しているエイリアスです。 DURINBRIDGE は、さまざまなトピックに関するニュースコンテンツを公開する独立したメディアのように見えるように設計された 200 以上の Web サイトネットワークを運営しています。これらのドメインは Google のポリシーに違反しており、 Google ニュースや Discover に表示されないようにブロックされています。
重要なのは、 DURINBRIDGE 自体は情報作戦のアクターではなく、顧客またはパートナーに代わって情報作戦コンテンツを公開した可能性が高いということです。サイト上のコンテンツのほとんどは、さまざまなソースからのニュースやプレスリリースであり、連携した影響力キャンペーンとの明らかな関連性はありません。しかし、コンテンツのほんの一部には、中国寄りのシナリオや、 Haixun や DRAGONBRIDGE の情報作戦キャンペーンに直接関連付けられたコンテンツが含まれています。 DURINBRIDGE サイトは、前述の中国の PR 会社である Haimai が運営する Times Newswire の記事や画像も使用しています。
私たちはまた、 複数の DRAGONBRIDGE の記事が DURINBRIDGE のニュースサイトに公開されているのを特定しました。コンテンツには、 DRAGONBRIDGE の永続的なトピックである亡命中の実業家 郭 文貴 氏に焦点を当てたものや、台湾の大統領選挙に向けて DRAGONBRIDGE が拡散した複数のシナリオが含まれていました。
DURINBRIDGE が運営する真偽不明のニュース サイトに公開された DRAGONBRIDGE のコンテンツ
DURINBRIDGE 運営の偽ニュースサイト「蔡英文の秘史」
台湾総統選挙前に DRAGONBRIDGE が推進した当時の頼 清徳候補に関するコンテンツ
Shenzhen Bowen Media (深圳博文媒体)
2024 年初頭、 TAG と Mandiant は、ヨーロッパ、南北アメリカ、アジア、オーストラリアの国々や都市に焦点を当てた独立したニュース サイトを装う 100 を超えるドメインのネットワークを運営する 4 番目のマーケティング会社を特定しました。 これらのドメインは Google のポリシーに違反しており、 Google ニュースや Discover に表示されないようにブロックされています。サイトの運営者である Shenzhen Bowen Media は、中国を拠点とするマーケティング会社であり、 Haixun が正規の報道機関のサブドメインにコンテンツを掲載するために使用したのと同じプレスリリースサービスである World Newswire も運営しています。
ブラジルとドイツ向けにローカライズされたコンテンツを掲載する Shenzhen Bowen Media にリンクされたサイト
Shenzhen Bowen Media のサイトは、特定の国や都市に焦点を当てた地域的な媒体を装っており、ビジネス、スポーツ、政治に関する記事を地域の言語で掲載しています。コンテンツは、中国語、英語、フランス語、ドイツ語、日本語、タイ語など、各ターゲットオーディエンスに合わせて複数の言語で提供されています。これらのサイトは、マーケティング会社との関係を開示していません。
地域のコンテンツと並行して、これらのサイトには中国政府の利益を促進するシナリオが含まれており、その多くは World Newswire からのものです。複数のケースで、 TAG と Mandiant は、 Shenzhen Bowen Media が運営するサイトに掲載された DRAGONBRIDGE に関連するコンテンツを特定しました。
Shenzhen Bowen Media にリンクされた「 Boston Journal 」 Web サイト上の DRAGONBRIDGE コンテンツ
結 論
GLASSBRIDGE が運営する偽のニュースサイトは、情報作戦のアクターが自らの主張を広めるために、ソーシャルメディア以外の方法をどのように取り入れているかを示しています。私たちは、ロシアやイランの情報作戦アクターによる同様の行動を観察しています。独立した、そしてしばしば地域のニュース媒体を装うことで、情報作戦アクターは特定の地域のオーディエンスに合わせてコンテンツを調整し、彼らの主張を一見正当なニュースや編集コンテンツとして提示することができます。実際には、コンテンツは PR 会社やニュースワイヤー会社によって作成または増幅されており、これらの会社は自分たちの役割を隠したり、コンテンツを地域や独立したニュース報道として積極的に偽装したりしています。 GLASSBRIDGE の場合、コンテンツの一貫性、行動の類似性、企業間のつながり、そして中国寄りのメッセージングは、民間企業が影響力キャンペーンの作成をアウトソーシングした共通の顧客から指示を受けていることを示唆しています。 Google は情報の透明性に尽力しており、 GLASSBRIDGE の追跡と Google のプラットフォーム上での信憑性のないコンテンツのブロックを継続していきます。最新の執行措置については、 TAG Bulletin で定期的に開示しています。
