Metaの2023年第1四半期脅威レポート　中国由来オペレーションの進化

毎回、見逃せないMetaの脅威レポート（https://about.fb.com/news/2023/05/metas-adversarial-threat-report-first-quarter-2023/）の最新版。
テイクダウンした6つのネットワークと、3つのサイバースパイ活動に関する報告があった。
巻末にはベン・ニモ発案のキルチェーン（https://note.com/ichi_twnovel/n/nbca2b5966d60）に基づく詳細なデジタル影響工作活動の整理がある。

●6つのデジタル影響工作活動のテイクダウン

今回のレポートでは6つのCIBネットワークのテイクダウンが報告されていた。米国、ベネズエラ、イラン、中国、ジョージア、ブルキナファソ、トーゴを拠点にしたものだった。今回のポイントは以下。

・インターネット上で架空の団体を設立する手法の多用
信頼性を高めるために、これらの活動のほぼすべてが、ニュースメディア組織、ハクティビストグループ、NGOなど、偽の企業を作っていた。Facebook、Twitter、Telegram、YouTube、Medium、TikTok、Blogspot、Reddit、WordPress、freelancer.com、ハッキングフォーラム、自身のウェブサイトなど、多くのサービス上で運営されていた。

・イランからの偽のハクティビスト

・民間代行企業の利用　半数が民間企業
以前の報告書でも指摘されていたが、民間企業の利用が進んでいる。今回テイクダウンしたネットワークの半数が民間企業によるものだった。この中には、中国のIT企業、米国のマーケティング会社、中央アフリカ共和国の政治マーケティング・コンサルタント会社などが含まれていた。

・中国のオペレーションの進化
Metaが検知した中国起源のCIB活動の性質が変化している。トロールファームやマーケティング・PR会社と連携した活動など、長年にわたって他の場所で観察されてきたものの、これまで中国由来の活動では見られなかったさまざまな戦術を実験的に使用している。最新の行動としては、欧米にフロントメディア企業を設立し、世界中でフリーライターを雇い、デモ参加者を募集し、アフリカのNGOを共闘させるというものがあった。

・ベネズエラとアメリカ

Facebookアカウント24、Page54、Instagramのアカウント4をテイクダウンした。
グアテマラとホンジュラスをターゲットとしており、アメリカフロリダ州にあるPredictvia社が関与していた。近年増加している民間企業への受託と考えられる。
Facebook、Twitter、Mediumなどの複数のインターネットサービスで、架空のニュースメディアをでっちあげ、独立系メディア、総合ライフスタイルブランド、独立系ジャーナリスト、ターゲット国の現地市民を装ったページやプロフィールを作っていた。
グアテマラの市長政治とホンジュラスの国政に焦点を当てた2つの活動を展開していた。
フォロワー数約6,700のアカウントがこれらのページの1つ以上をフォローし、約400のアカウントがこれらのInstagramアカウントの1つ以上をフォローしていた。
FacebookとInstagramの広告に約1,650ドル広告を出稿していた。

・イラン

FacebookとInstagramでは、Facebookのアカウント40、ページ8、グループ1をテイクダウンした。
イスラエル、バーレーン、フランスをターゲットとして、Facebook、Twitter、Telegram、YouTube、ハッキングフォーラムなどのインターネットサービスを横断して行われ、メディア、物流・輸送会社、教育機関、空港、出会い系サービス、政府機関など、標的とした国の団体をハッキングした情報を発信していた。実際にハッキング行為が行われたかは未確認だが、イスラエル、バーレーン、フランスでニュースに取り上げられた。

・中国1

Facebookアカウント50、ページ46、グループ31、Instagramのアカウント10をテイクダウンした。
Facebook、Twitter、YouTubeなど複数のインターネットサービス上で展開され、ターゲットとする地域に特化した架空のサイトを多数運展開していた。インドとチベットのニュースや時事問題について英語とチベット語で発信していた。
FacebookとInstagramでは、Facebookアカウント50、ページ46、グループ31、Instagramアカウント10があった。
フォロワー数約5,800アカウントがこれらのページの1つ以上をフォローし、約19,600アカウントがこれらのグループの1つ以上に参加し、約200アカウントがこれらのInstagramアカウントの1つ以上をフォローしていた。
FacebookとInstagramの広告に約74,000ドルの広告を出稿していた。

・中国2

Facebookアカウント107、ページ36、グループ6、Instagramのアカウント35をテイクダウンした。
台湾、サハラ以南のアフリカ、日本、中央アジア、世界中のウイグル人 コミュニティなど、世界の多くの地域をターゲットにしていた。
Facebook、Instagram、YouTube、Twitter、Telegram、PayPal、暗号通貨、Blogspot、Reddit、Wordpress、freelancer.comなど複数のインターネットサービスをターゲットとしていた。London New Europe Media Ltd(英国で登録された広告代理店)という企業を運営し、世界中からコンテンツクリエイターや翻訳者を集めようとしていた。英語の動画を録画するために、外部の個人を雇おうとしていた。少なくとも1本の米国を批判する動画がYouTube チャンネルに投稿された。
また、ヨーロッパの官公庁、米国のシンクタンク、米国のテクノロジー企業などになりすましたり、ウガンダのNGOと提携するなどカモフラージュを行っていた。
日本については福島からの核廃棄物輩出疑惑を発信していた。
フォロワー数約15,500アカウントがこれらのページの1つ以上をフォローし、約200アカウントがこれらのグループの1つ以上に参加し、約200アカウントがこれらのInstagramアカウントの1つ以上をフォローしていた。

・ジョージア

80のFacebookアカウント、 26のページ、9のグループ、Instagramの2つのアカウントをテイクダウンした。Facebook、Instagram、TikTokを含む複数のアプリをターゲットとしており、ジョージア国内で発生していた。
偽のアカウントや架空の人物のアカウントを作り、地元の親政府の草の根グループを装っていた。
フォロワー数約138,000アカウントがこれらのページの1つ以上をフォローし、約238,000アカウントがこれらのグループの1つ以上に参加し、約400アカウントがこれらのInstagramアカウントの1つ以上をフォローしていた。
FacebookとInstagramの広告に約33,500ドルの広告を出稿していた。

・トーゴとブルキナファソ

Facebookアカウント134、ページ142、Instagramのアカウント20をテイクダウンした。トーゴとブルキナファソで発生し、どちらもブルキナファソをターゲットにしていた。
ブルキナファソの独立系ニュースメディアを装ったウェブサイトネットワークを運営していた。
トーゴのGPCI( Groupe Panafricain pour le Commerce et l'Investissement)という政治マーケティング コンサルタント会社が関与していた。
フォロワー数約65,500のアカウントがこれらのページの1つ以上をフォローし、約500のアカウントがこれらのInstagramアカウントの1つ以上をフォローしていた。
FacebookとInstagramの広告に500ドル程度広告を出稿していた。

●3つのスパイ活動

南アジアにおける3つのサイバースパイ活動を発見し、FacebookとInstagramの約120のアカウントをテイクダウンした。これらのグループはパキスタン政府と関係があった。
特徴は、ソーシャルエンジニアリングを駆使し、その代わりに洗練度の低いマルウェアを用いていた。

好評発売中！
『ネット世論操作とデジタル影響工作：「見えざる手」を可視化する』（原書房）
『ウクライナ侵攻と情報戦』（扶桑社新書）
『フェイクニュース　戦略的戦争兵器』（角川新書）
『犯罪「事前」捜査』（角川新書）＜政府機関が利用する民間企業製のスパイウェアについて解説。