脅威インテリジェンス

親中派情報操作活動”HaiEnergy“、PR会社のインフラを活用し、偽のニュースサイトにコンテンツを配信

2022年8月4日

Mandiant

営業担当へのお問い合わせ

セキュリティについてのご相談はこちらからお問い合わせください。

※この投稿は米国時間 2022 年 8 月 4 日に、Google Cloud blog に投稿されたものの抄訳です。

Mandiantは、少なくとも72の疑わしい偽のニュースサイトと多数の疑わしいソーシャルメディアアセットを活用し、中華人民共和国（PRC）の政治的利益を戦略的に支援するコンテンツを広める情報操作（IO）活動が進行中であることを確認しました。これらのサイトは、主に世界のさまざまな地域の独立系ニュースメディアを装い、11の言語でコンテンツを配信しています（本ブログ内の「付録」をご覧ください）。このブログで詳しく説明している技術的な指標から、これらのサイトは中国のPR会社であるShanghai Haixun Technology Co., Ltd（上海海迅科技有限公司（以下、「Haixun」）と関係があると考えられます。

この活動では、米国とその同盟国を批判し、国際的な監視の目が厳しくなっている新疆ウイグル自治区の国際的なイメージを変えようとし、香港の選挙制度改革（中国が地元候補者の審査により大きな力を持つようになった）への支持を表明するシナリオが宣伝されています。また、このような幅広いテーマに加え、中国の実業家である郭文貴（マイルス・クオック）や、新疆ウイグル自治区に関する研究で知られるドイツの人類学者アドリアン・ゼンツなど、中国政府を批判する反対派を貶めるための捏造コンテンツがキャンペーンに利用されていました。

この活動で採用されているTTP（戦術、技術、手順）の特殊性を考慮し、私たちはこの活動を独立したキャンペーンとして分類し、「HaiEnergy」と名付けています。これは、このキャンペーンがHaixunに帰属するインフラと、PR会社が「ポジティブ・エネルギー・パッケージ」として宣伝するサービスを使用していることに由来しています。「ポジティブ・エネルギー（正能量）」とは、習近平時代に重要な用語で、中国共産党や中国政府、その政策を肯定的に表現するメッセージのことです。

この活動における能力の高さとグローバルなリーチにもかかわらず、HaiEnergyは私たちが指摘したような偽のシナリオを拡散する以外の実質的なエンゲージメントを生み出すことができなかったものと考えられており、そのことを示唆する証拠が少なからず存在しています。このことは、Mandiantが先に報告したDRAGONBRIDGEに関するレポートでも述べています。Mandiantは、この活動がHaixunに帰属するインフラを利用したことは、IOを第三者にアウトソーシングする最近の傾向を示唆するものであり、IOをよりアクセスしやすくして攻撃者の身元の特定を難解にするのに役立つと考えられます。

Haixun（上海海讯社科技有限公司）にリンクするインフラ

同社のサービスに関する公開情報を基にすると、Haixunは100カ国以上、少なくとも40の異なる言語でコンテンツ制作とマーケティングサービスを提供しています。中でも注目すべきは、表向きは英語圏向けのコンテンツ制作を含む「欧米ポジティブ・エネルギー」パッケージと、オーダーメイドのビデオ制作、「高品質メディアリソース」によるカスタムコンテンツのプロモーション、キャンペーンの効果測定を中心とした「ポジティブ・エネルギー・プロジェクト版」の提供でしょう（図1）。

https://storage.googleapis.com/gweb-cloudblog-publish/images/HaiEnergy1_xtdp.max-900x900.jpg

図1：HaixunのWebサイトでは、ポジティブ・エネルギーを含む様々な「パッケージ」が提供されている。

現時点では、HaixunがHaiEnergyにどの程度関与しているか、あるいは知っているかを判断する十分な証拠はありませんが、私たちの分析では、この活動は少なくともHaixunに属するサービスやインフラを活用してコンテンツをホストし配信していることが分かっています。合計で72のWebサイト（59のドメインと14のサブドメイン）がHaixunによってホストされており、これらは北米、ヨーロッパ、中東、アジアのオーディエンスをターゲットに使用されていることが確認されました。

HaiEnergyの関連サイトで表示されている画像や動画は、全てHaixunが登録するサーバー02100.vipでホストされています（図2）。インフラの重複に基づき、Haixunのサービスを説明する中国語と英語のサイトである2つの追加ドメイン（haixunpr.comとhaixunpr.org）が、同じIPアドレスにつながり、02100.vipのコンテンツを利用していることが確認されました。
Mandiantは、haixunpr.orgでホストされているダウンロード可能なスプレッドシートに記載されている「HaiEnergy」と思われる複数の偽ニュースサイトを確認しました。このスプレッドシートは中国語とロシア語のテキストで構成されており、コンテンツの配布リストと思われます（図3）。なお、このスプレッドシートは、本レポートの発行時点では、すでにダウンロードすることができなくなっています。

https://storage.googleapis.com/gweb-cloudblog-publish/images/HaiEnergy2_tumy.max-1300x1300.jpg

図2：ネットワーク内のサイト例。Unseenews.comは02100.vipにホストされているコンテンツを表示している。

https://storage.googleapis.com/gweb-cloudblog-publish/images/HaiEnergy3_1_clwd.max-1100x1100.jpg

図3：haixunpr.orgでダウンロード可能となっていたスプレッドシートには、ネットワークの一部と判断したサイトの一部がロシア語や中国語で表示されている。

Webサイトが連携する兆し

今日まで、HaiEnergyはHaixunのインフラを利用してWebサイトをホストしてきました。これらのWebサイトには多くの類似点があり、以下のような顕著な連携の形跡が見られます。

英語版の米国ニュースサイトを含むほぼすべてのサイトが、中国語のHTMLテンプレートで構築されています（図4）。
ドメインとサブドメインの両方を含むサイトの中には、独立した別のサイトとして表示されているものもあります。たとえば、trademasdaily.comというドメインは英語サイト「TMK Daily」であるのに対し、 automobile.trademasdaily.comというサブドメインは「Focus on Russia」として、ロシア語のコンテンツを含んでいます（図5）。
多くのサイトが、ページの下部にあるネットワーク内の他のサイトに直接リンクしています。さらに、各サイトは、その地域の焦点に関連する他のニュース媒体にリンクしているのが一般的です。
政治的な記事と非政治的な記事は、しばしば複数のサイトにまたがって掲載され、他の情報源（中国やロシアの国営メディアなど）から転用された記事も含まれます。

https://storage.googleapis.com/gweb-cloudblog-publish/images/HaiEnergy4_wgdd.max-1100x1100.jpg

図4：ネットワーク内のサイト例。「24usnews.com」は中国語のHTMLテンプレートで構築されている。

https://storage.googleapis.com/gweb-cloudblog-publish/images/HaiEnergy5_aeky.max-900x900.jpg

図5：ドメインtrademasdaily.comは英語では「TMK Daily」（上）、サブドメイン automobile.trademarksdaily.com はロシアでは「Focus on Russia」（下）として表示される。

サイトや各アカウントペルソナのソーシャルメディアアセットを活用し、コンテンツを拡散させる活動

この活動では、複数のソーシャルメディアアカウントを活用してコンテンツを拡散していました。観察されたアセットには、HaiEnergyの偽ニュースサイトの関係者として表示されたペルソナ、コンテンツ自体の責任者とされるアカウントペルソナ、キャンペーンコンテンツを宣伝しているがサイトとは提携していないアカウントなどがありました。私たちが特定し、キャンペーンの一部と評価したアカウントには、「I do paid promos」というテキストを表示したものもあり、親中派コンテンツが委託された可能性があることが判明しました。

注目すべきは、私たちが特定したサイトの多くが、このキャンペーンに利用されたと私たちが判断したFacebookアカウントに直接リンクするアカウント著者名で記事を発表していることです。例えば、inspectnews.comは、「Julian Sontagg」と記載された著者のコンテンツを公開しており、Sontaggの傍線には、Facebookアカウント「I trust in memes」（@TrustingMemes）に直接リンクしています（図6）。

https://storage.googleapis.com/gweb-cloudblog-publish/images/HaiEnergy6_nldt.max-800x800.jpg

図6: inspectnews.comの著者ペルソナ「Julian Sonntag」（上）は、同一の内容を投稿しているFacebookアカウント「I trust in memes」（下）にリンクしている。

キャンペーンアセットが宣伝する親中派コンテンツとシナリオ

この活動で宣伝されているコンテンツは、新疆ウイグル自治区の国際的なイメージを変えようとするもの、米国とその同盟国を批判するもの、中国政府に対して批判的な人物を貶めようとするものなど多岐にわたっています。

新疆ウイグル自治区に対する国際的イメージの再構築

新疆ウイグル自治区や中国によるウイグル人虐殺に関する研究で知られる人類学者エイドリアン・ゼンス氏を中傷しようとする動きが、Webの記事とソーシャルメディアの投稿で確認されました。これには、文法的な誤りやタイプミスが目立つ少なくとも3通の偽造と思われる手紙が使われています（図7）。

Jonas Drosten（@Jonas_drosten）という不審な人物のTwitterアカウントは、3通の手紙の画像を含むツイートを投稿しています。このツイートと手紙の1通は、ゼンス氏が米国上院議員マルコ・ルビオ氏と元ホワイトハウス首席戦略官スティーブ・バノン氏から資金援助を受けていると主張するものでした（図7）。他の2通はその資金援助が2020年と2021年に共産主義の被害組織記念財団からゼンス氏に授与された助成金によるものであることを暗示しています。
Mandiantは、このペルソナが中国国営メディア「中国日報」が2022年5月24日に発表した「新疆に関する嘘を捏造する風評被害者の意図」と題する記事で言及されているのを確認しています。"新疆の記事を捏造するため"、ゼンス氏が元ホワイトハウス首席戦略官のスティーブ・バノン氏につながる不明な筋から不正に資金を得ていると主張しているのです。こ活動におけるいくつかのWebサイトや他のソーシャルメディアアカウントは、同じ手紙を宣伝し、Jonas DrostenというTwitterの人物像に言及しました。

https://storage.googleapis.com/gweb-cloudblog-publish/images/HaiEnergy7_vkcl.max-900x900.jpg

図7：Jonas DrostenのTwitterアカウント（左上）がマルコ・ルビオ氏の署名とされる捏造された手紙を投稿（右上）、Haixunとリンクした偽ニュースサイトSwiss ZeitungがJonas Drostenペルソナ（下）を引用してゼンス氏に関する記事を宣伝している。

米国とその同盟国に批判的なコンテンツ

この活動では、米国とその同盟国に批判的なさまざまなシナリオが、さまざまな言語で宣伝されています。

8月1日、ナンシー・ペロシ米下院議長が8月上旬に台湾を訪問するとの報道を受け、複数のサイトが同議長を批判する2つの記事を掲載しました。ペロシ氏は「台湾に近づくな」と主張し、米国と台湾の関係が悪化していることを強調した記事です。
米国最高裁が「Roe v. Wade」判決を覆した6日後の6月30日には、米国外に住む米国人女性を名乗る著者による、判決に反対する抗議者が米国の法執行機関とRoe v. Wade判決を覆すことを支持する米国市民によって暴力にさらされたとする英文の記事を確認しました（図8）。
ウクライナ語の記事では、ウクライナにある米国のバイオラボとされる場所で行われた実験により、多数のウクライナ人が死亡したと主張しています。
2022年3月の元米国政府高官マイク・ポンペオの台湾訪問の動機は金銭と2024年の米国大統領選への出馬だとする台湾の報道機関を装ったサイトもある。さらに、米国を信頼できない同盟国として描き、台湾は中国による侵略の可能性から米国が軍隊を派遣して防衛することを期待すべきでは無いと主張しました。

https://storage.googleapis.com/gweb-cloudblog-publish/images/HaiEnergy8_rtic.max-1400x1400.jpg

図8：偽サイトが、米国最高裁の「Roe v. Wade事件」判決を批判する記事を掲載する様子

中国政府批判への攻撃と香港改革への支持

この活動では、中国政府の反対派を攻撃するコンテンツや、2021年に香港で行われた選挙制度の改革により、候補者の審査に中国がより大きな権限を持つようになったことを支持するコンテンツが宣伝されました。

その中には、中国の生物学者である顔黎明博士を批判し、彼女が米国におけるアジア人ヘイトクライムの原因であると主張する内容や、中国の実業家である郭文貴を非難する内容を宣伝するサイトがありました。
法輪功の創始者である李洪志を批判し、法輪功は多くの人を洗脳し殺害したカルト集団であると主張するコンテンツもありました。また、李洪志は詐欺師であり、嘘つきであると主張しました。
中国語やアラビア語のニュースサイトなどでは、香港の新しい選挙制度が広く国民に支持されているとし、称賛する記事もありました（図9）。

https://storage.googleapis.com/gweb-cloudblog-publish/images/HaiEnergy9_onml.max-1200x1200.jpg

図9：アラビア語ニュースサイトが香港の改革を支持するコンテンツを宣伝している様子

HaiEnergyとDRAGONBRIDGEの重複と相違点

私たちは現在、活動のTTPが異なることから、HaiEnergyとDRAGONBRIDGEを別々のキャンペーンとして追跡しています。しかし、どちらの活動も、米国が資金提供するバイオラボが世界各地に存在するという主張や、中国のウイグル人に対する処遇に関するコンテンツ、郭文貴のような反中国の人物に対するネガティブなメッセージなど、類似したシナリオを宣伝していることに注目しています。また、両活動とも、非政治的なコンテンツをスパムのように宣伝することも行っています。これらの重複は、タスクの共有やグループの重複の結果である可能性もありますが、現段階でこれらを決定づける証拠はありません。

DRAGONBRIDGEは、通常、コメント、ビデオ、写真を投稿するために、様々な本物のプラットフォームで数千のソーシャルメディアとフォーラムアカウントを活用しています。
HaiEnergyは、主に、コンテンツを拡散するために偽のWebサイトネットワークを活用します。少数のいかにも本物には見えないアカウントを使ってコンテンツを宣伝し、場合によっては特定のサイト用に特別なコンテンツを作成している用にも見えます。
Mandiantは、ソーシャルメディアのアカウント、フォーラム、Webサイト、インフラの重複を確認していません。特に、DRAGONBRIDGEのアセットが、HaiEnergyの偽ニュースサイトのコンテンツを宣伝していることは確認されていません。

展望

Mandiantは、Haixunの能力とグローバルなリーチにもかかわらず、HaiEnergyが実質的なエンゲージメントを生み出すことができなかったことを示唆する証拠が少なくともいくつかあることに注目しています。最も注目すべきは、相当数のフォロワーがいるにもかかわらず、この活動にアトリビュートされる偽アカウントによる政治的な投稿は、この活動自体の外側では大きな影響力を得ることができなかったということです。DRAGONBRIDGEで見られたような外部ソースからの反響のなさは、活動の広がりを制限し、本質的にエコーチェンバー現象を形成していると言えます。

また、この活動の影響を評価するよりも興味深いのは、Haixunに関連するインフラを利用したことです。これは、IOを第三者にアウトソースし続ける最近の傾向、つまり「IO for hire」を示唆する観察結果です。特に、2021年半ば、Meta社はこのような企業の利用が増加していることを証言しており、活動に関わる者の参入障壁を低くし、より高度な攻撃者の身元をわかりにくくするために利用されています。

付録

確認された言語

Languages

アラビア語

中国語

英語

フランス語

ヒンディー語

イタリア語

韓国語

ロシア語

タイ語

ウクライナ後

ベトナム語

表1: HaiEnergyキャンペーンで観察された言語

HaixunにリンクするWebサイト

Display Name	Website URL
24 News	24usnews.com
Aisa Korea	aisakorea.com
All City Times	allcitytimes.com
Anna Times	annatimes.com
Austria Weekly	austriaweekly.com
Focus on Russia	automobile.trademarksdaily.com
財富台灣	caifutw.com
Charm Daily	charmdaily.com
Czech Weekly	czechweekly.com
Director Times	directortimes.com
Donga Daily	dongadaily.com
Egypt Daily	egyptdaily.org
Elec Daily	elecdaily.com
Espana Daily	espanadaily.com
Eur Times	eutimes.fr
Exactly News	exactlynews.com
E.MP	finance.austriaweekly.com
Finance.TZ	finance.thaibizdaily.com
FT Voice	finance.thewarsawvoice.com
TH Truth	finance.thtruth.com
Finland Weekly	finlandweekly.com
Hani Daily	hanidaily.com
Hanna Press	hannapress.com
Health Latest Job News	health.latestjobnews.in
香港日報	hkdaily.net
Toyo Times	hotels.toyotimes.com
台灣焦點	hotintaiwan.com
Hurriyet Business	hurriyetbusiness.com
Inspect News	inspectnews.com
Jakarta Globe	jakartaglobe.org
KR Economy	kreconomy.com
KR Pop Star	krpopstar.com
Latest Job News	latestjobnews.in
Lehua Times	lehuatimes.com
Lori Times	loritimes.com
Charm Daily	markets.charmdaily.com
Elec Daily	markets.elecdaily.com
Hani Dal	markets.hanidaily.com
Joins Da	markets.joinsdaily.com
KR Economy	markets.kreconomy.com
Mecha Times	mechatimes.com
Moscow TV	moscowtv.vip
Nanyang Daily	nanyangdaily.com
Nets Bay	netsbay.com
New Delhi News	newdelhinews.club
NZL Daily	newzealandgazette.com
NGR Daily	nigeriacom.com
New York City Morning Post	nycmorning.com
Portugal Daily	portugaldaily.com
Qatar Daily	qatardaily.org
RAND Daily	randdaily.com
RU Business	rubusiness.club
RU Industrial	ruindustrial.com
Russian Daily	russiadaily.org
Sain Times	saintimes.com
Saudi Weekly	saudiweekly.com
Seoul Daily	seouldaily.org
Startup India Magazine	startupindiamagazine.com
Swiss Weekly	swissweekly.com
Swiss Zeitung	swisszeitung.com
The Korea Times	thekoreatimes.org
Russian Daily	therussiadaily.com
The Thailands	thethailands.com
The Warsaw Voice	thewarsawvoice.com
TH Truth	thtruth.com
Toyo Times	toyotimes.com
TMK Daily	trademarksdaily.com
Unsee News	unseenews.com
Huabei Daily	vn.huabeidaily.com
香港週報	weeklyhongkong.com
Yarl Times	yarltimes.com
Yasu Daily	yasudaily.com