情報操作に関する Mandiant のインテリジェンスを理解し、実行する方法

幅広い役割と業界に配置された防御者は、さまざまな種類の悪意のあるオンライン影響活動の特定と公開に取り組んでいます。サイバーセキュリティの研究者、政府機関、学者、組織内の信頼と安全の部門、報道機関、および営利団体は、それぞれの脅威プロファイルと対象範囲に基づいて独自の役割を担っています。このブログ投稿では、情報操作 (IO) に対する Mandiant のアプローチを紹介し、組織が脅威インテリジェンスへのアクセスからどのように利益を得ることができるかを説明します。

Mandiant は、オンラインの影響スペクトル全体でさまざまな活動を追跡し、IO に起因する脅威の露出と緩和に役立つインテリジェンスを生成します。悪意のあるオンライン影響力に関連する Mandiant の焦点は、欺瞞的な戦術を使用してターゲットの情報環境を操作する政治的動機の取り組みを特定、分析、および暴露することです。これには、政治的または商業的影響を与える可能性のある金銭目的の活動の調査が含まれる場合があります。

何年もの間、ベラルーシ、ロシア、中国、イランのキャンペーンを含むがこれらに限定されない、非国家および国家のアクターを支援または代理していると判断したIOキャンペーンを特定し、報告してきました。これらのキャンペーンを特定して公開することで、組織や政府が IO 脅威活動の潜在的な悪影響を軽減するのに役立ちます。

注: このブログ投稿で使用されている重要な定義については、付録を参照してください。

Table of contents

サイバーおよび物理的リスクを予測するための IO 脅威インテリジェンス
IO ディフェンダーは、絶えず進化する脅威活動に適応する必要があります
政府主導の IO は、さまざまな国家所属に基づいて実施される
IO アクティビティの分類
IO 脅威の活動を明らかにするための混合手法
付録: 用語集

サイバーおよび物理的リスクを予測するための IO 脅威インテリジェンス

IO は、国家、組織、および個人の安全に脅威をもたらします。この活動により、アクターはターゲットオーディエンスを密かに操作して、現実世界の意思決定に影響を与えることができます。 IO 脅威インテリジェンスは、民間機関と公共機関の両方がサイバーおよび物理的リスクを取り巻くコンテキストを収集するのに役立ちます。 IO は、次のようなさまざまな悪意のある目的をサポートするために使用できます。

民間および政府機関の評判を損なうこと
組織、個人、疎外されたグループへの危害を助長する
民主的な選挙に影響を与え、政治不安を悪化させる
紛争中の地域における社会ダイナミクスの不安定化

図 1 は、IO 脅威インテリジェンスの主なユースケースの一部を示しています。

Example IO threat intelligence use cases for commercial organizations, governmental institutions, and service providers or platforms — 図 1: 商業組織、政府機関、およびサービスプロバイダーまたはプラットフォームの IO 脅威インテリジェンスの使用例

IO ディフェンダーは、絶えず進化する脅威活動に適応する必要があります

IO 防御ドメインにはさまざまな利害関係者が関与しています。政府やサービスプロバイダーは、偽情報の拡散を制限することで、情報環境を保護しようとしています。 IO が最初の防御線を通過すると、官民の組織も独自の防御メカニズムを採用します。防御側とアクターの検出と対応は、アクターが最前線の保護をバイパスするために戦術、技術、手順 (TTP) を絶えず適応させる活動のサイクルを構成しますが、防御側はその活動の影響を軽減するために戦略を適応させる必要があります (図 2)。

Mandiant は、IO 脅威アクティビティを検出、分析、および公開して、その影響を軽減し、進化する脅威ランドスケープを認識し続けるためのコンテキストを組織に提供します。可能な限り、Mandiant は脅威活動を特定のアクターに帰属させ、潜在的な動機についての洞察を提供し、既知の TTP と動作に基づいて悪意のある情報フローを追跡します。

政府主導の IO は、さまざまな国家所属に基づいて実施される

オンライン情報環境は、さまざまな州に合わせた影響活動の対象となる可能性があります。スペクトル内の活動は、公式および公共のチャネルを介した明白なコミュニケーションから、元のスポンサーとの関係を曖昧にするために欺瞞的な戦術や資産を利用する秘密の活動にまで及びます。 IO アクターは、オンラインの影響スペクトルのさまざまなセクションで並行して操作することにより、メッセージの影響を拡大しようとする場合があります (図 3)。

Mandiant は、攻撃者が秘密の方法を使用して、目的の物語を含むコンテンツを広めたり宣伝したりする IO の発見に焦点を当てています。攻撃者はしばしば偽情報技術を使用してターゲットユーザーに影響を与えますが、最も効果的な作戦には、真実または部分的に真実の情報を戦略的に拡散することも含まれます。

Mandiant は、聴衆を欺く意図なしに虚偽の情報が明白なチャネルを介して公開または増幅される、誤報のケースをカバーしません。

Online Influence Spectrum に掲載された活動のサンプル — 図 3: Online Influence Spectrum に配置されたアクティビティのサンプル

政府の公式通信:政府機関や省庁などの公式政府機関に属するアカウントによるプレスリリース、告発、および投稿。この公開メッセージには、世論を左右することを目的とした事実情報と偽情報の両方が含まれる場合があります。
個人の公務員の発言:政府に積極的に雇用されている、または政府に直接関係している個人による投稿または発言。これらの声明は、公式の方針や立場から不正な声明までさまざまです。
国営メディア:政府によって直接的または間接的に管理または資金提供されている媒体 (例: 国営媒体の Web ページ、テレビ番組、および媒体またはその従業員によるソーシャルメディアへの投稿に掲載された記事)。
政府と連携したコンテンツプロデューサー:動機や目的が政府の目的と一致する個人または団体。そのようなエンティティは、政府との提携の程度がさまざまであるか、または不明である可能性があります。
情報操作:組織化された不正なオンライン資産などを介して、欺瞞的な戦術を使用してターゲットの情報環境を操作するための、政治的に動機付けられた取り組み。

IO アクティビティの分類

Mandiant は、動機、規模、共有コンテンツの根底にある真実性、国家関係者との提携、潜在的な影響、および調整された不正行為 (CIB) を含む欺瞞的な戦術の使用を考慮して、IO 活動がカバレッジの範囲内にあるかどうかを分類および判断します。 .図 4 に示すように、正確な言葉を使用して、観察した IO アクティビティを追跡します。

図 4: Mandiant がネットワーク、運用、およびキャンペーンを分類する方法

複数のアセットが連携して動作していると評価する場合、アセットのグループをネットワークと呼びます。
特定のトピックに関連するコンテンツを宣伝するアカウントのネットワークなど、IO 脅威活動の単一のインスタンスを操作と呼びます。
リンクされていると当社が判断した複数の作戦または脅威活動のインスタンスは、キャンペーンとして指定されます。

キャンペーンを実施しているエンティティまたは個人 (Roaming Mayfly、 Ghostwriter 、 DRAGONBRIDGE など) を評価するための十分な証拠がある場合、これらのキャンペーンは、「アクター」と呼ばれる既知のエンティティ (ロシアのインターネット調査機関など) によるものであると見なされます。場合によっては、マーケティング会社などの民間部門のエンティティに起因する活動を特定します。

サイバー犯罪やスパイ活動など、他のドメインでの活動を追跡している既知のサイバー脅威アクターが、観察された IO 活動と重複する場合があります。このような重複の例としては、ハックアンドリーク操作や侵害された Web サイトやアカウントを使用してコンテンツを広める攻撃者が含まれます。たとえば、攻撃者 UNC1151 は、ベラルーシ政府とリンクしている侵入グループであり、ゴーストライターの影響力のあるキャンペーンに技術サポートを提供していると評価しました。

IO 脅威の活動を明らかにするための混合手法

IO を実行する攻撃者は、さまざまな人的および技術ベースの戦略を使用して、防御者による検出と露出を回避します。これらの戦略には、人工知能 (AI) によって生成されたディープフェイク画像の使用、視聴覚コンテンツの操作、実際の個人を装うペルソナの開発、Web サイトの偽のネットワークを活用して戦略的な物語を促進することが含まれる場合があります。

IO の実行に使用されるのと同じチャネルを流れる膨大な量のコンテンツと、攻撃者の TTP の絶え間ない進化を考えると、防御側は常にさまざまな手法を調査し、主題に関する専門知識と技術的能力の両方を活用して、悪意のあるアクティビティをフィルタリングして発見する必要があります。

IO 脅威インテリジェンスが組織にどのように役立つかについての詳細は、Mandiant にお問い合わせください。

付録: 用語集

CIB (調整された、真正でない行動) : オンラインアセットのグループが連携して、自分が誰で、何をしているのかについて他人を誤解させる (メタの CIB の定義から変更された)。

ディープフェイク: 機械学習を使用して生成された画像や動画などの合成メディアで、IO アクターが対象視聴者を欺くために使用される可能性があります。

偽情報 : 誤った情報を意図的に播種または増幅すること。

Generative Adversarial Network (GAN) : ジェネレーターとディスクリミネーターの 2 つのサブモデルで構成されるディープラーニングモデルアーキテクチャ。ジェネレーターは、元のデータセットに基づいて合成サンプルを作成することを学習します。これは、ディスクリミネーターが本物と合成を区別できないほどリアルなビジュアルを作成することを目的としています。

ハッキングと漏えい: 影響を与える目的で侵入し、その後抽出されたデータを公開すること。

なりすまし: 別の個人またはエンティティになりすます試み。

不正なアカウント: 身元を不正に提示するアカウントの総称。人間が操作する場合と自動化される場合があります。

情報操作 (戦術) : 調整された、本物ではないオンラインアセットおよび/または欺瞞的な戦術を使用して、ターゲットユーザーに影響を与えること。

情報操作 (アクティビティ) : 特定のトピックまたはインシデントに関してターゲットの情報環境を操作するために、アクターが欺瞞的な戦術を意図的に使用する特定のインスタンス。

影響力キャンペーン / 情報操作キャンペーン: 複数の情報操作がより大きな取り組みの一部であると評価されました。これらは通常、長期間にわたって実行されます。

IO アセット: IO 活動をサポートするために使用されるソーシャルアカウント、ドメイン、電子メールアドレスなど、アクターが制御するオンラインリソース。

誤報: 誤った情報を意図せずに広めること。

ネットワーク: 調整された非真正な方法で動作していると当社が評価する個々の資産のグループ。

オンライン影響活動: 脅威アクターまたは国家スポンサーの利益のためにオンラインでターゲット情報環境を操作する意図的な取り組み。 IO で言及されているもの、外交官や国営メディアによる公開メッセージ、権威主義政権による国家レベルのコンテンツ検閲など、さまざまな戦術を使用する可能性があります。

プロパガンダ: 公開情報に影響を与えるために一方的な情報を流布すること。通常、国民国家または政党から来ます。不誠実な意味合い。

パブリックメッセージ: 外国の一般市民と通信するための政府の取り組み。通常、認識された敵対者のメッセージに対するカウンターメッセージや、真の情報を広めようとする試みが含まれます。

参照: https://www.mandiant.com/resources/blog/understand-action-intelligence-information-operations