ブログ(脅威調査)

“Distinguished Impersonation” (著名人物を騙るなりすまし) がソーシャル・メディアで昨年、米国の政治家やジャーナリストになりすました情報操作で、米国の自由主義者を装いイランの国益を促進

*本ブログは、米FireEyeが公開した February 12, 2020 「"Distinguished Impersonator" Information Operation That Previously Impersonated U.S. Politicians and Journalists on Social Media Leverages Fabricated U.S. Liberal Personas to Promote Iranian Interests」の抜粋版です。技術詳細を含むブログ全文は、英文記事をご参照ください。

2019年5月、FireEye Threat Intelligenceチームは、英語を使ったソーシャル・メディア・アカウントのネットワークを公開したブログ記事を発表しました。記事には、イランの政治的利益を支援するために、FireEyeが信頼度が低いと評価した偽の行動や虚偽表示に関与したアカウントがまとめられています。そのネットワーク内のペルソナは、2018年の米国の下院議員の候補者になりすまし、偽のジャーナリストのペルソナを活用して、目的にふさわしい政治的世論の拡散を意図したインタビューのために、本物のジャーナリストや政治家を含むさまざまな個人を要請しました。このブログ記事の発表以降、FireEyeでは、その広範な情報操作の一部と思われる活動を追跡し続けています。その結果は、「著名人物を騙るなりすまし」(Distinguished Impersonator)という通称を使用してインテリジェンス・サービスのお客様に報告しています。

本日(2020年2月12日)、Facebook社は、FacebookとInstagramプラットフォーム上の11のページに関連するアカウントに対して措置を講じたとアナウンスしました。これらのアカウントについてはFireEyeにも共有されており、FireEye独自のレビューでは、FireEyeが追跡中の広範な「著名人物を騙るなりすまし」が一連の活動に関連していると判断しています。Twitterもまた、最近、強制措置を実行しています。FireEyeでは、その措置に対するTwitter上のアクティブな40未満のアカウントが関連した大規模なアカウントのセットについて、個別に特定しました。このブログの記事では、FireEyeが、「著名人物を騙るなりすまし」ネットワークにおける一部のペルソナの最近の活動と行動についての考察を提供し、人目に付かないように世論の拡散と政治的関心の形成を実施しようとするたくらみにおいて、攻撃者が採用している戦術的な情報操作を例証することを目的にしています。   

活動の概要

「著名人物を騙るなりすまし」ネットワークのペルソナは、2019年5月に公表されたものと同様の活動を続けています。これには、政治家やメディア向けのソーシャル・メディアへのメッセージ、「メディア」インタビューのための学者、ジャーナリスト、および活動家を含む著名な個人の要請、およびそのような個人が行った不明な出自のインタビューのビデオクリップをソーシャル・メディアへ投稿することが含まれます。また、このネットワークは、正規のメディア・コンテンツを活用して、望ましい政治的世論を拡散しています。たとえば、イランの国益に合致するような、欧米の主要メディアからのニュース記事やビデオクリップを拡散したり、実際の個人のソーシャル・メディアへのコメントを拡散しました。

ジャーナリストなどの著名人へのなりすましを除いて、ネットワーク内の他のペルソナは、主に、米国の自由主義者を装い、他のソーシャル・メディアのユーザーの正規のコンテンツを本人の掲げた政治的傾向に沿って拡散したり、同様にイランの政治的関心に沿った内容を広めています。それには、前米国民主党員のコメントに添えられたトランプ大統領とサウジアラビアのサルマン国王との間の友好的な会談のビデオクリップ、イエメン紛争におけるサウジアラビアの役割を議論する米国民主党大統領候補のビデオクリップ、反サウジアラビア、反イスラエル、および反トランプのメッセージなどがあります。このメッセージの一部は、米国の政治家やメディアのソーシャル・メディア・アカウントに向けられています(図1)。


図1:反イスラエル、反サウジアラビア、および反トランプの内容を掲載する「著名な偽装者」ネットワークに含まれるTwitterアカウント

FireEyeでは、Facebookプラットフォーム上で運用する6人のペルソナが、Twitter上で運用するペルソナと、まったく重複することを観察しました。この重複の一例として、「Ryan Jensen」を名乗るペルソナがTwitterとInstagramの両方に、2020年1月にバグダッドで米国の空爆によってイスラム革命防衛隊コッズ部隊(IRGC-QF)のカセム・ソレイマニ司令官が殺害された後の、米国で行われた反戦デモのビデオクリップを掲載しました(図2)。特に、この空爆は、ネットワーク内のペルソナによる限られた活動の動機付けとなりましたが、「著名人物を騙るなりすまし」の情報操作は、その出来事よりもずっと以前から活発でした。


図2:「Ryan Jensen」を名乗るペルソナによるTwitterとInstagramへの投稿。カセム・ソレイマニ司令官の殺害後に、米国で行われた反戦デモのビデオクリップを拡散

<中略>

結論

ここで説明した活動は、FireEyeは新しい活動とは考えておらず、むしろ、昨年から追跡しているイランの政治的利益を支援するために実行されていると考えられる継続的な情報操作の延長と判断しています。これは、この活動の背後にある攻撃者が、実際の個人の本物の政治的コメントを活用して、オンラインでイランの政治的利益を密かに促進するための精巧な方法を探し続けていることを示しています。また、継続して行われるジャーナリストのなりすましと政治をテーマとした著名な個人のインタビューの拡散もまた、「media-IO nexus」(メディア情報操作グループ)としてFireEyeが長きにわたり社内で言及してきたものに、さらなる実例を提供します。それは、オンライン情報操作に従事する攻撃者は、彼らの活動を隠すために、正規の媒体環境の信頼性を積極的に活用するからです。その際、正規のメディア媒体として偽装した偽のニュースサイトを使用する、望ましい政治的世論の拡散のために正規のメディアに偽装する、報道機関のWebサイトを改ざんして中傷情報を広める、正規のメディアのWebサイトになりすます、またはこのケースのように、偽のメディアのペルソナを採用することによって、攻撃者の政治的目的にふさわしいと思われるコメントを求める、など手段をいとわず情報操作を繰り返しています。

 

日本語版:Reviewed by Toru Tanimura