コンテンツに移動
脅威インテリジェンス

IOの攻勢:ロシアのウクライナ侵攻をめぐる情報操作活動

2022年5月19日
Mandiant

営業担当へのお問い合わせ

セキュリティについてのご相談はこちらからお問い合わせください。

お問い合わせ

※この投稿は米国時間 2022 年 5 月 19日に、Google Cloud blog に投稿されたものの抄訳です。

ロシアによるウクライナへの本格的な侵攻を契機に、情報環境はさまざまな主体による偽情報で溢れかえっています。破壊的なサイバー脅威の活動と同時に行われるものも含め、サイバー技術を利用した情報操作から、様々なソーシャルメディアプラットフォーム、Webサイト、フォーラムで捏造されたコンテンツや望ましいシナリオを促進するための協調的かつ非正規のアカウントネットワークを利用した活動まで、協調的な情報操作が急増しています。

この活動の全容はまだ明らかになっていませんが、侵攻開始から2カ月以上が経過した時点で、Mandiantは、ロシア、ベラルーシ、中国、イランといった国家の政治的利益を支援するために活動していると判断される主体が行った情報操作キャンペーンと思われる活動を確認し、当社が長年にわたって追跡してきた進行中の活動も含めて、その実態を明らかにしています。本報告書では、こうした活動の一端を検証し、侵攻への対応においてMandiantが観察した重要な情報操作に焦点を当て、その初期分析を紹介します。

破壊的なサイバー攻撃と同時進行するロシアの利益に沿った情報操作活動

Mandiantは、ランサムウェアに偽装されたワイパー型マルウェアの配備を含む、ロシアがスポンサーであると思われる破壊的なサイバー攻撃活動と同時に発生した、ロシアの政治的利益に沿った情報操作活動を確認しました(表1)。サイバー情報作戦は、その性質上、作戦の複雑さに応じて異なる作戦構成要素をサポートするための多様なスキルセットへのアクセスを必要とします。これらの作戦を、同時多発的に発生する破壊活動と結びつけることはできませんが、この限られたパターンの重複は、今回の紛争で観察された情報操作活動の背後にいる主体が、幅広い能力を持つグループと結びついていることを示唆しているのかもしれません。


日付 情報操作活動 同時に進行する破壊的なサイバー攻撃
Jan. 14, 2022 外務省を含む複数のウクライナ政府のWebサイト改ざん政府サーバーからデータが削除されたのでそれを公開するというメッセージがロシア語、ウクライナ語、ポーランド語で表示された。 この改ざんは、ランサムウェアに見せかけたMBRワイパー「PAYWIPE」やファイル破壊ツール「SHADYLOOK」がウクライナ政府やその他のターゲットに対して1月に展開されたのと同時期であったと考えられる。
Feb. 23, 2022 数十のウクライナ政府のWebサイト改ざん114日の件と同じ画像が表示された。 ランサムウェアに偽装したNEARMISSマスターブートレコード(MBR)ワイパーとPARTYTICKETワイパーを使ったウクライナ政府のターゲットに対する破壊的な攻撃と同時期に発生した。
March 16, 2022 ウクライナを標的とした情報操作により、ウクライナ24Webサイトの侵害・改ざんの疑いや、ウクライナ24のテレビ放送のニューステロップに書かれた文章、さらに人工知能(AI)が生成したゼレンスキー大統領になりすました「ディープフェイク」動画を通じて、ウクライナのロシア降伏を主張するねつ造メッセージが流布された。 同日、Mandiantは、ウクライナの組織を標的としたJUNKMAILワイパーを特定。このマルウェアは、ゼレンスキー大統領が米国議会で演説を行う予定の約3時間前に実行されるよう、スケジュールされたタスクによって設定されていた。
表1:他の破壊的なサイバー脅威活動と同時に発生した重要な情報操作

ロシアとベラルーシによる情報操作活動には、サイバー化された活動や確立されたリソースの利用が含まれる

ロシアとベラルーシの情報操作活動家や その活動は、これまでハッキングやリークといったサイバー脅威活動と結びついてきたものも含め、侵攻の周辺では、以前に確立した動機と一致する活動を展開しています。このような活動インフラを利用することは、場合によっては既存の資産を再集中させることも含め、ロシア、親ロシア、ベラルーシが長年にわたって行ってきたウクライナとより広い地域を対象とする情報操作が、新たな安全保障上の関心事に対処するために活用されたことを示しています。既知の活動に加え、これまで観測された活動や攻撃者によるものではない親ロシア的なコンテンツを侵略に利用する情報操作も確認されています。

https://storage.googleapis.com/gweb-cloudblog-publish/images/Figure20120Mandiant20Ukraine20IO20Research.max-1700x1700.jpg

図1:ロシアのウクライナ侵攻をめぐる情報操作活動において、ロシアと連携した攻撃者や活動が確認されたベクター。「ロシア系」とは、ロシア、ベラルーシ、親ロシアの活動を指し、この図には紛争以前の活動は反映されていません。

APT28: ウクライナ保安庁(SBU)が、米国および英国政府が「APT28」の活動であるとアトリビューションした組織と同じ、ロシア参謀本部主席情報局(GRU)第85特殊作戦センターの情報作戦資産であると推定したテレグラムチャンネルが、現在の紛争に関するコンテンツを投稿し続けていることが判明しました。これらのチャンネルは侵攻前から活動しており、SBUの帰属を独自に確認することはできませんでしたが、このチャンネルの活動には、自国政府と侵攻への対応に対するウクライナ人の信頼を弱めることを意図していると思われるコンテンツの宣伝が含まれていることに留意しています。このコンテンツはまた、欧米のパートナーからのウクライナへの支援を弱めることを意図しているようですが、その一方で、非政治的なコンテンツやニュース報道を伝える一見穏健な投稿も散見されます。

  • APT28は、ハッキングやリーク作戦から破壊活動に至るまで、情報操作に関与してきた幅広い歴史を有しています。APT28が関与する著名な作戦としては、2016年に米国民主党全国委員会(DNC)および米国民主党議会選挙委員会(DCCC)が侵害され、その後、偽ハクティビストのペルソナGuccifer 2.0によってその文書が流出したことや、2014年にウクライナ中央選挙委員会のネットワークおよびWebサイトの侵害、改ざん、データ漏洩、データ破壊が挙げられます。

Ghostwriter4月に発生したGhostwriterと疑われる活動では、不正アクセスした疑いのあるWebサイトや、不正アクセスした疑いのある複数のソーシャルメディアアカウント、あるいはその他の攻撃者にコントロールされたアカウントを利用して、ウクライナ人とポーランド政府との間の不信感を煽るようなシナリオを宣伝するために、捏造したコンテンツを公開しました。また、「Ghostwriter」活動に関与したと思われる不審な人物も、NATOとバルト三国の駐留を批判し、ウクライナへの言及を増やした意見記事を発表・宣伝しています。私たちは、ベラルーシが少なくとも部分的にGhostwriter活動に関与していると、中程度の確信を持って判断しています。

  • 侵攻までの数週間とその後の数週間、ベラルーシのスパイ組織「UNC1151」は、リトアニアを標的としたスピアフィッシングなど、ヨーロッパ諸国を標的とした複数のキャンペーンを実施しています。UNC1151は、Ghostwriter情報操作活動を技術的に支援していることから、UNC1151の脅威活動に関連するターゲットが観測されたことは特筆すべきことです。

Niezależny Dziennik Polityczny (NDP)ロシアのウクライナ侵攻直後から、同名のオンラインジャーナルを中心とした情報作戦活動を展開するNDPに関連する資産が、ロシアの戦略的利益を積極的に擁護する方向に変化していることが確認されました。この間、ロシアのプロパガンダと偽情報のエコシステムの中で、公然の情報源と隠された情報源の両方によって作られたシナリオを強調して推進する活動の様子が観察されました。私たちは、NDPの活動を特定の攻撃者にアトリビューションすることはできません。しかし、NDPGhostriterの活動には重複が見られ、この2つのの間にある程度の連携や作戦計画に関する高度な知識の共有があったことを示唆している可能性があります。

Secondary Infektion侵攻前も侵攻中も、「Secondary Infektion」と呼ばれるロシアの影響を受けていると思われる活動が継続しています。偽造文書、通信文、パンフレット、スクリーンショット、偽造請願書やインタビューなど、しばしば改ざんした資料によって根拠のあるシナリオを作り、聴衆をターゲットにしています。このブログで言及されている具体的なSecondary Infektionの活動はすべて、私たちが初めてそのアトリビューションを公にしたものです。

Internet Research AgencyIRA):ロシアの新聞「Fontanka.ru」の報道によると、テレグラムチャンネル「Cyber Front Z」に関連する極秘の情報操作活動の存在が示唆されています。このチャンネルは、ロシア、ウクライナ、西側諸国の視聴者に対し、侵略に関する親ロシア的なコンテンツをソーシャルメディア上で協調的に宣伝することをあからさまに目的としています(図2)。Fontanka.ruのレポートによると、Cyber Front Zは、IRAに関連して米国から制裁を受けた組織につながる個人が運営している可能性があり、このテレグラムチャンネルで宣伝されている仕事は、複数のプラットフォームで親ロシアコンテンツを宣伝するために非正規のペルソナを使っている「トロール工場」の一部であると主張されています。これらの主張を独自に確認することはできませんが、このような活動は、既知のIRA資産からこれまでに観察されたものと一致していることに留意してください。

 

https://storage.googleapis.com/gweb-cloudblog-publish/images/FIgure20220Mandiant20Ukraine20IO20Research_m.max-600x600.png

図2:Cyber Front Zのテレグラムチャンネルに投稿され、フォロワーに特定のターゲットのソーシャルメディアアカウントに投稿するよう促すコンテンツの一例。提供されるコンテンツには、下品で攻撃的な画像が含まれることが多く、ここでは、マリウポルのAzovstal製鉄所に閉じ込められたウクライナ軍に、漫画のロシア兵が空爆を呼びかけるミームが紹介されている。

ロシア情報機関とつながりのある偽装メディア:私たちは、独立団体を自称しながらも、ロシア情報機関とつながりがあると公になっているメディアが、侵略に関連する親ロシア的なシナリオの出版や増幅に関与しているのを観察しました。これにはロシア連邦対外情報庁(SVR)、ロシア連邦保安庁(FSB)、ロシア連邦軍参謀本部(GRU)とのつながりが報告されている出版社が含まれます。

ロシアと連携する「ハクティビスト」グループ:ハクティビストのペルソナであるJokerDNRBereginiは、ウクライナ軍メンバーの個人情報(PII)を含むとされるリーク文書の公開などを通じて、ロシアの侵攻に至るまで、そしてそれ以降もウクライナをターゲットに積極的に活動しています。さらに、KillnetXaknetRahDitといったどの程度ロシア国家との関係があるのか不明なハクティビストグループが新たに設立され、分散型サービス妨害(DDoS)攻撃、ハッキング&リーク作戦、改ざんなど、ロシア支援のためのハクティビスト型脅威活動に従事しています。

ウクライナ国民の士気を低下させ、ウクライナと西側同盟国の間に分裂をもたらし、世論のロシアに対するイメージ向上を図ろうとする親ロシアのシナリオを観測

協調的な情報操作活動を通じて宣伝された偽情報は、侵略とそれを取り巻くより大きな地政学的状況に対する認識を形成しようとする様々な主張を行っています。その多くは、ウクライナ国民の士気を低下させて国内不安を煽る、ウクライナを同盟国から引き離す、ロシアに対するイメージを向上する、という3つの目的のいずれか1つを意図しているように思われます(図3)。このような活動の多くは、ウクライナと欧州の聴衆をターゲットにしています。しかし、ロシア国内をターゲットにしたメッセージングを推進する情報操作活動資産も確認されており、ロシアが自国民に戦争の正当性を刷り込む必要があることを裏付けています。

https://storage.googleapis.com/gweb-cloudblog-publish/images/Figure2032020Mandiant20Ukraine20IO20Resear.max-2200x2200.png

図3:ロシアのウクライナ侵攻に関連して観察されたロシアの利益に沿ったシナリオのテーマ

ウクライナ国民の士気を下げる

私たちは、ウクライナ政府や軍が降伏したというデマなど、ウクライナ国民の士気を低下させ、不安を煽ることを意図していると思われる複数のシナリオを確認しました。

  • 3月の情報操作活動では、ゼレンスキー大統領がウクライナがロシアに降伏したとする人工知能(AI)生成の「ディープフェイク」動画を流布し、ウクライナ24Webサイトやテレビ放送のニューステロップをディープフェイク動画と同一のメッセージやスクリーンショットに改ざんしました(図4)。開戦以来、他のウクライナのWebサイトも、ウクライナの降伏を主張するメッセージで改ざんされています。
  • 3月のSecondary Infektion活動では、ゼレンスキー大統領が侵攻作戦を指揮していたキエフの軍事施設で自殺したと偽り、ウクライナの軍事的失敗のために自殺を考えていた、と主張されました。
  • 4月の別のSecondary Infektion活動では、アゾフの「ギャング」がマリウポリで兵士を見殺しにしたとしてゼレンスキー大統領に報復を企て、アゾフの司令官が民間人のふりをして都市から脱出しようとしたと主張しています。(このシナリオは特にウクライナのアゾフ連隊に言及している。アゾフ連隊はウクライナ国家警備隊の中の特殊作戦分遣隊で、それ自体、白人民族主義のレトリックを信奉することで知られている幅広い超民族主義運動の一部であり、ウクライナ政府およびより広くウクライナ人をナチスとする親ロシアシナリオに頻繁に登場してきた。)
  • ウクライナがGRUにアトリビューションしているテレグラム・チャンネルは、ウクライナは紛争に対する備えがなかったという主張や、ウクライナのオリガルヒが「国を出る権利のためにゼレンスキー大統領に金銭を支払った」という主張など、ウクライナ政府側の汚職と無能さを強調しています。
https://storage.googleapis.com/gweb-cloudblog-publish/images/Figure20420Mandiant20Ukraine20IO20Research.max-1100x1100.jpg

図4:ゼレンスキー大統領がウクライナはロシアに降伏すると発言している人工知能(AI)生成の「ディープフェイク」映像のスクリーンショット

ウクライナを同盟国から分断する

  • 最近発生した Ghostwriter の活動は、私たちがそのアトリビューションを初めて公表するもので、侵害された資産を利用して、ポーランドの犯罪組織がウクライナ難民から臓器を採取して欧州連合に違法輸出しており、ポーランド国内安全局が「ポーランド高官」が関与するとされるこの犯罪組織を調査しているというシナリオを宣伝する捏造コンテンツを公開しました。
  • NDPに関連する不審なペルソナによって発表された意見記事は、ポーランドのウクライナ難民受け入れに対する恐怖、不安、疑念(FUD)を生み出すことによって、ポーランドとウクライナの関係を悪化させることを目的としていると思われるシナリオを促進しました。その中には、難民がポーランドの経済や医療制度に過度な負担を与えているとしたり、「ネオナチ」やその他の好ましくない移民が大量に国境を越えてポーランド国内で攻撃を始めるのではないかというポーランド国民の不安を煽るような虚偽の内容が含まれていました。
  • 114日と223日のウクライナ政府Webサイトの改ざんは、第二次世界大戦中に「ウクライナ反乱軍」(UPA)がポーランド民族に対して行った戦争犯罪に言及しており、これはロシアやベラルーシの情報操作で以前から観察されていたテーマです。例えば、202111月に行われたGhostwriterの活動では、ポーランドに極右政治的傾向を持つウクライナ人ボランティアが存在するとされるのは、同じ戦争犯罪の犠牲者に対する「侮辱」であるとする、ポーランド人退役将官の捏造証言を紹介しています。
  • 最近のウクライナ語とロシア語による「Secondary Infektion」の活動では、ウクライナ政府とポーランド政府が、ポーランド軍がウクライナ西部に展開することを可能にしようとしたと主張し、この動きはウクライナ国民にとって忌まわしいものであるとされていました。4月上旬の作戦では、ポーランドはウクライナが演出した、ロシア軍がブチャで残虐行為を行ったという「挑発」を利用して、同国への駐留を正当化しようとしたと主張し、2月上旬の工作では、ポーランド軍の配置場所を示す地図を配布し、これらの部隊が数年間にわたってウクライナ一帯を占拠すると示唆しています(図5)。
  • また、テレグラム・チャンネルで観測されたGRUによる情報には、米国による対イラン戦争など、他国の差し迫った紛争に西側が関心を向けているため、ウクライナはすぐに忘れ去られ見捨てられるだろう、というような内容が含まれていました。
https://storage.googleapis.com/gweb-cloudblog-publish/images/Figure20520Mandiant20Ukraine20IO20Research_z.max-700x700.jpg

図5:Secondary Infektion作戦で配布された、ポーランド軍がウクライナ西部に駐屯する場所を示すと主張する地図

ロシアに対するイメージの向上

ウクライナにおけるロシアの戦争犯罪を否定し、ウクライナ軍に対する反論を行うなど、否定と偏向を通じてロシアに対するイメージを向上させることを目的とした、複数のシナリオが確認されています。

  • Cyber Front Zは、親ロシア的な論評を協調して推進する中で、ソーシャルメディア・ユーザーに対し、ウクライナの「ナチス」がマリウポルの劇場に市民を強制的に連れて行き、それを爆発させたと主張するように呼びかけました。
  • Mandiantは、ウクライナ軍が化学兵器を使用したという主張を含むロシア語のメッセージングを宣伝する、ソーシャルメディアアカウントの協調的かつ非正規のネットワークを確認しました。
  • また、これらのアカウントは、ロシアのウクライナ侵攻に対する欧米の対応(対ロシア制裁など)の効果を否定し、こうした措置が欧米に悪影響を及ぼすと主張しています。

親中派情報操作キャンペーン「DRAGONBRIDGE」のメッセージには、ロシア国家が推進するシナリオが含まれ

Mandiant2019年に初めて報告した、多数のソーシャルメディアプラットフォーム、Webサイト、フォーラムにおける数千の非正規アカウントのネットワークからなる親中国キャンペーン「DRAGONBRIDGE」は、ウクライナ危機とその後の侵略に対応してそのメッセージを変化させました。英語と中国語によるDRAGONBRIDGEのコンテンツには、ウクライナで生物兵器研究を行う国防総省と連携した研究所の存在を主張するなど、ロシアの国営メディアや影響工作が推進するシナリオを反映させるものがありました。また、米国を不正行為や他国への干渉で非難することは、同様に中国の政治的利益に沿ったものです。私たちは以前、親中国と親ロシアの両方の情報操作活動によって、米国の生物兵器研究所が危険な研究に関与しているとする内容を宣伝しているのを確認しています。ウクライナに関するロシア寄りのシナリオを利用したキャンペーンは、米国と欧米の世界的地位を標的とする継続的な試みにおける政治的日和見主義の一形態と言えるかもしれません。

  • 36日、ロシア国防省のイーゴリ・コナシェンコフ報道官は、ロシアのウクライナでの軍事作戦により、ウクライナで米国防総省と連携した研究所が生物兵器の研究を行っている証拠が発見されたと主張しました。DRAGONBRIDGEのアカウントはその後、この主張を増幅し、米国が資金提供するバイオラボがウクライナだけでなく世界中に存在するとの主張も行いました。
  • DRAGONBRIDGEのアカウントは、ウクライナのバイオラボが「原因不明の謎の感染症」の原因であり、世界の他の場所でもバイオラボが同様に地元の人々に害を与えているとほのめかしています(図6)。
https://storage.googleapis.com/gweb-cloudblog-publish/images/Figure206.20Mandiant20Ukraine20IO20Researc.max-1000x1000.jpg

図6:ウクライナにある米国のバイオラボの存在と複数の "謎の感染症" の発生との関連性をほのめかすDRAGONBRIDGEのビデオのスクリーンショット

侵略に関するDRAGONBRIDGEのメッセージは、米国の外交政策と他国との関係を狙い、米国の行動は利己的であり、同盟関係において信頼できないパートナーであるという主張をしているようです。また、ウクライナへの武器売却を理由に、米国が最も得をする形で紛争の火種を作ろうとしたという説や、対露制裁措置に関する米欧の方針が一致しているように見えるが、欧州のエネルギー事情悪化に関わらず、米国が制裁を発動をするように欧州に強要したたという説もあります。

欧米の紛争への対応を非難し、ロシアとイスラエルの関係を狙う親イラン派の情報操作活動

同様に、Mandiantは、イランと親イランの情報操作活動が、欧米、サウジアラビア、イスラエルを標的とした侵攻に関するシナリオを活用していることを確認しています。関与したキャンペーンには、Liberty Front PressLFPキャンペーンや、これまで名前を挙げていなかった親イランのキャンペーンの活動があり、Citizen Lab2019年に報告したイランと連携したEndless Mayfly影響キャンペーンとの関連性が考えられるため、私たちは「Roaming Mayfly」と名付けています。

  • アラビア語圏の聴衆に向けたメッセージでは、米国は2021年にアフガニスタンから逃亡し、今度はウクライナを見捨てたと主張し、その運命は「米国の悪の枢軸」との同盟によるものだとしました。同様に、英語版コンテンツでは、NATOはロシアとの戦争を避けるためにウクライナを犠牲にしたと主張しています。
  • また、親イランの情報操作のリソースは、ウクライナは核兵器を放棄すべきではなかったと宣言し、そのような譲歩がその後の侵攻に対して脆弱性を残したと暗に示しています。
  • 親イランの情報操作も、この紛争を利用して、ウクライナ戦争をイエメン戦争と重ね合わせ、ロシアと比較してサウジアラビアへの対応に偽善があると西側を非難しています。さらに、中東の紛争とウクライナの紛争を比較して、欧米がアラブ人やイスラム教徒に対して人種差別を行っていると非難しています。

Mandiantはまた、「Roaming Mayfly」が戦争前夜にロシアの聴衆をターゲットにして、ロシアとイスラエルの間の緊張を高めるために危機を利用しようとしたように見えることも確認しました。例えば、この活動では、ロシアのジャーナリストで外交政策思想家のフョードル・ルキヤノフになりすました人物を使って、イスラエルの情報機関が現在の危機においてロシアに対してウクライナを支援しており、イスラエルが2000年、2004年、2014年の「ウクライナカラー(革命)」を支援していたことを示唆するツイートを公開しました(図7)。

https://storage.googleapis.com/gweb-cloudblog-publish/images/Figure20720Mandiant20Ukraine20IO20Research.max-1000x1000.jpg

図7:Fyodor Lukyanovのなりすましである疑いがある人物が、イスラエルの情報機関が現在の危機においてロシアに対するウクライナを支援しており、イスラエルが2000年、2004年、2014年の「ウクライナカラー【革命】」を支援していたことを示唆するツイート

展 望

ロシアのウクライナ侵攻を背景とする情報操作活動は、現場で起こる事象に対応し、それを形成しようとする戦術的目的と、変化する地政学的状況に影響を与えようとする戦略的目的の双方を示しています。これらの活動はウクライナにとって大きな脅威である一方、米国をはじめとする西側諸国にも脅威を与えています。そのため、紛争の進展に伴い、サイバー脅威活動やその他の破壊的な攻撃を含むこのような活動が継続されるものと予想されます。

これまでのところ、既知の行為主体による活動の顕著な特徴の1つは、それぞれの活動の確立された動機との明らかな一貫性があるという点です。ロシア、ベラルーシ、および親ロシア派の活動家が関与したとされるものを含むロシア寄りの活動は、これまでのところ、紛争そのものに直接関連する戦術的・戦略的目的を支援するために、最も幅広い戦術、技術、手順(TTP)を採用しています。これは、ウクライナ情勢に影響を与え、ロシア国内の支持を集め、ロシアの行動に対する世界の見方をコントロールするというロシアのニーズが、現場での事実によって形作られている場合に特に有益です。一方、親中国、親イランの活動は、ロシアの侵攻を機に、長年の戦略的目的をさらに進展させることにつながっています。このような動きは今後も続くと予想され、ロシアとの紛争をめぐる情報操作の活動範囲が拡大しないか、精力的に監視しています

※本ブログは、5月19日に公開されたブログ「The IO Offensive: Information Operations Surrounding the Russian Invasion of Ukraineの日本語抄訳版です。

-Mandiant, 作成者: Alden Wahlstrom, Alice Revelli, Sam Riddell, David Mainor, Ryan Serabian

投稿先