[レポート]偽プレスリリースの背後に「認知作戦」の影 サイバー情報戦の謎に迫る – CODE BLUE 2022 #codeblue_jp

こんにちは、臼田です。

今回はCODE BLUE 2022で行われた以下のセッションのレポートです。

偽プレスリリースの背後に「認知作戦」の影　サイバー情報戦の謎に迫る

それは2021年9月に発覚した。あるセキュリティ企業の名前をかたった「偽プレスリリース」の存在だった。 偽プレスリリースの内容は一見すると、フィッシング詐欺の注意を呼びかけるというありきたりなものだった。 ただ、文章を注意深く読んでいくと、いくつもの違和感が残った。微妙な日本語の「ゆらぎ」などだ。 「何かがおかしい」。自身の直感を信じ、取材を始めた。 その結果、日本と台湾を舞台にした、ディスインフォメーション（偽情報）による「情報戦」とも言える実態が浮かび上がった。 それは、複数の中国系企業のプレスリリース配信サービスが関与する、大規模なものだ。 攻撃者の実像も見えてきた。取材を重ねた結果、攻撃者が犯した、たった一つの「ミス」を見つけたからだ。 そして、配信サービスを舞台にした情報戦は、新たな局面を迎えており、今も継続している。

Presented by : 須藤 龍也 - Tatsuya Sudo

レポート

• 偽情報、Disinformationの本質はなにか？考えてほしい
  • 偽情報は民主主義に対する脅威
  • 健全な言論と議論によって成り立つ民主主義国家の支えを崩壊しようとしている
  • 新聞社は民主主義を守るために活動している
  • インターネット上がDisinformationで毒されてはいけない
  • インターネット上の民主主義の担い手がセキュリティの専門家ではないかと考える
• 自己紹介
  • もともと朝日新聞のエンジニアとしてメインフレームでプログラミングをしていた
  • 途中から記者になった
  • 2020年の三菱電機へのサイバー攻撃の記事などを書いている
• 始まりは2021年9月
  • 1本のプレスリリース
  • カスペルスキーによるプレスリリース？
  • 「意識を高めてメールを寄せ付けない」
  • 読めば読むほどおかしな日本語
    • フィッシング詐欺の説明で「フィッシャー」と書いたり、「一方」が繰り返されたり
    • 関連する組織などの情報が具体的すぎる
    • セキュリティの記事なら、日本だとぼかすはず
  • カスペルスキーは「自社の発表ではない」と否定
    • 発覚したその日にカスペルスキーからリリースを出した
• つまり「偽のプレスリリース」？
  • すでに配信されてから4日経っていた
  • 同じ内容が他のサイトでも拡散されていた
  • どこから配信されているか
  • 「プレスリリース配信サービス」
    • あまり聞き慣れないサービス
    • 料金プランがある
    • 提携している10サイトに展開する、など
    • 料金によって配信先が増える
  • いずれも中国系企業が運営の配信サービス
    • 共通しているのは、料金を支払えば誰でも記事を掲載できる
    • 法人のチェックなど一切なし
    • 第三者がなりすまし放題
  • 主要提携先は有名所が多い
    • 行き先のメディアに伝統的なメディアなどがある
    • 載っている情報の信憑性が自動的に上がる仕組み
• 同じ手口で「偽プレスリリース」が拡散
  • 一体誰が？
  • なんの目的で？
  • 文中に書かれたIPアドレスに注目して調査
    • このIPから調べると「驚いた！日本人の個人情報が公開される」という記事にたどり着く
    • 記事では台湾のセキュリティ企業TeamT5を名指しで、彼らが「フィッシングを仕掛けている」と書かれていた
    • 常識で考えればありえない
    • しかし一般人は判断基準がないため信じるかも知れない
  • もっと調べると台湾政府に対する批判の見出しなども見つかった
  • この記事もプレスリリースサイトに大量配信されている
  • 加えて日本の匿名掲示板にいくつもスレッドが立てられる
  • 情報を拡散する狙いがある
• 本当の標的はTeamT5？
  • 実際にTeamT5に取材するしか無い
  • TeamT5も台湾国内で同じような手口で悪質な偽情報が発信されていると認識し、プレスを出していた
  • 同じように台湾国内の匿名掲示板でも掲載
  • TeamT5は中国による認知作戦と考えている
  • Information Operation attack
    • 第六の戦場と言われる
    • 陸海空 + 宇宙 + サイバー空間の次
    • SNSを使って意識や行動に影響を与える工作
• TeamT5の解析
  • 日本語を母語としない筆者によって記述されている
  • 日本語の文法上の誤りや簡体字の利用を確認
  • 本当の情報と偽情報が巧妙に混ぜている
  • TeamT5の日本と台湾での評判を落とすことが狙いでは？
• なぜ日本が舞台に？
  • 答えはわからないが、昨年のCODE BLUEにヒントがあった
  • TeamT5は中国の情報操作戦について発表している
  • 「中国から発信される政治宣伝の動画の実態」
  • アジア地域における存在感が増す「TeamT5」
    • 2016年以降中国国内から発信されるSNSを使った「情報操作」を研究
    • 普通偽情報だと画像が思いつく
    • しかし最近はショート動画がインパクトが強い
    • 短時間で多くの情報を流せる動画に注目している
    • 情報操作戦が確実に上達している
    • TeamT5のスレットインテリジェンスの調査力は高い
  • TeamT5は「国家レベルのハッカーの関与」を示唆
    • 台湾政府や軍事機関に対する偽情報を使った攻撃を2020年7月に観測
    • 共通点はプレスリリース配信サービス
• 独自の取材で裏付けを取らなければ記事にすることはできない
  • 他国を交えた安全保障にも関わる話
  • 配信サービスの運営会社を特定して全てに取材依頼
  • インターネット上だけ探しても見つからない
  • 中国に住んでいる人や詳しい人、中国国内の法人登記などを確認
  • サイバーでも普通の取材でも変わらない
  • こういう取材は答えてくれるところは少ない
  • しかし十数社のうち2社も返事が来た
  • 先方も極めて深刻な事態だと認識していた
  • TeamT5や台湾政府の関係者まで厳しい対応をしているとは知らなかった
  • 一部情報を公開してくれた
    • 暗号化されたメールアドレスを使いPayPalで支払いをし、発信元はスイスのIPだった
  • 犯罪者のよくやる手段
    • 匿名化されたVPNの出口のIPだった
  • ダメ元でメールアドレスに対して取材を申し出した
  • しばらく経って配信サービスの取材協力者から、依頼者が特定できるかもと連絡
    • 依頼者がミスをして普通のメールアドレスで送ってきていた
    • そのメールアドレスから大量のドメインを登録していた
    • 中国系ハッカー集団のIoC情報と数多く一致
    • TeamT5が言っていた国家レベルのハッカーの関与という見解と同じ結果となった
• スクープとして記事を配信
  • 記事の配信日は2022年2月24日
  • しかしちょうどロシアの軍事侵攻が始まった
  • 結果このニュースがほとんど拡散されなかった
• ここまでは台湾のセキュリティ会社についての話
• 日本を標的にしたものは？
• まだプレスリリース配信サービスは使われている
  • 調査中のため全ては出せないが
  • 編集注: 詳細な内容は後日リリースされる予定の朝日新聞さんの記事をお待ち下さい
• PR会社は「中国政府に利用されている」と言っている
  • 「悪意を持っているわけではないと信じてほしい」
  • 暗号化されたメールに隠れている人物は中国政府の人間であると疑っている
• よく中国から攻撃があるとすべてが悪意を持って連携しているとする記事もある
  • 本当はそうとは限らない
  • この見極めは注意する必要がある
  • 実際に取材に協力してくれている人たちもいる
• 取材結果については朝日新聞にも掲載する予定

感想

冒頭の「Disinformationは民主主義国家の支えを崩壊しようとしている」というところからまさにそのとおりであると感じました。

もはやインターネット上の情報の確かさを、個人のリテラシーでかいくぐればいいという領域では無くなっていると思います。情報が大量に溢れている時代ですから、様々な偽情報に対して気をつけないと行けないですし、SNSで簡単に発信できるところは、個人でも気をつけないといけないですね。

今回は偽情報の発信方法の一端が垣間見えたと思います。こういった情報に踊らされず、インターネットに生きるものとして発信には気をつけて行きたいです。