情報作戦攻勢：ロシアのウクライナ侵攻をめぐる情報作戦

ロシアによるウクライナへの侵略の最近の段階は、ロシアの全面的な侵略によって明らかにされたものであり、情報環境はあらゆる種類のアクターによって促進された偽情報で溢れかえっています。協調的な情報操作は、破壊的および破壊的なサイバー脅威活動と一致するものを含む、サイバー対応の情報操作から、さまざまなソーシャル メディア プラットフォーム、ウェブサイト、とフォーラム。

この活動の全貌はまだ明らかになっていませんが、侵略開始から 2 か月以上が経過した時点で、Mandiant は、政治的利益を支援するために活動していると判断したアクターによって行われた情報操作キャンペーンに起因する活動を特定しました。ロシア、ベラルーシ、中国、イランなどの国家であり、私たちが何年も追跡してきた進行中のキャンペーンを含みます。このレポートでは、この活動の一部を調査し、Mandiant が侵入に対応する作業で観察した重要な情報操作を強調し、それらのイベントの初期の分析を提示します。

破壊的および破壊的なサイバー脅威活動と並行して、ロシアの利益に沿った情報操作

Mandiant は、ランサムウェアを装ったワイパー マルウェアの展開を含むインシデントを含む、侵略開始の直前と直後の数週間に、ロシアが後援した可能性のある破壊的かつ破壊的なサイバー脅威活動と同時に発生した、ロシアの政治的利益に沿った情報操作を特定しました (表 1 ）。サイバー対応の情報操作では、さまざまな操作コンポーネントをサポートするために多様なスキルセットにアクセスする必要がありますが、これは操作の複雑さに応じて異なります。これらの作戦を破壊的かつ破壊的な活動と関連付けることはできませんが、この限られた重複パターンは、この紛争で観察された情報操作の背後にあるアクターの一部が、広範な能力を持つグループに関連付けられていることを示唆している可能性があります。

ロシアとベラルーシの情報操作には、サイバー対応の操作、確立された資産の使用が含まれます

ロシアとベラルーシの情報操作アクターとキャンペーンには、歴史的にハックアンドリーク操作などのサイバー脅威活動に関連していたものも含まれ、以前に確立された動機と一致する侵入を取り巻く活動に関与しています。場合によっては確立された資産の再焦点を含む、開発されたキャンペーンインフラストラクチャの使用は、ウクライナとより広い地域を対象としたロシア、親ロシア、およびベラルーシの情報操作の長年の取り組みが、新たな安全保障上の利益に対処するためにどのように活用されたかを示しています.既知のキャンペーンに加えて、以前に観察されたキャンペーンやアクターによるものではなかった、侵略に関する親ロシアのコンテンツを宣伝する情報操作活動も特定しました。

APT28 : ウクライナのセキュリティ サービス (SBU) が、米国および英国政府がAPT28を特定したのと同じ組織である、ロシア参謀本部の主要情報総局 (GRU) の第 85 主要特別サービス センターの情報運用資産として特定したテレグラム チャネル活動、現在の紛争に関するコンテンツを投稿し続けています。これらのチャネルは侵略前に活動していたものであり、SBU の帰属を独自に確認することはできませんでしたが、これらのチャネルの活動には、政府に対するウクライナ人の信頼と侵略への対応を弱めることを意図していると思われるコンテンツの宣伝が含まれていることに注意してください。このコンテンツはまた、西側のパートナーからのウクライナへの支持を弱体化させることを意図しているようであり、非政治的なコンテンツやニュース報道を中継する一見無害な投稿が散在しています。

• APT28 には、ハッキングおよびリーク操作から破壊活動に至るまで、情報操作に関与してきた広範な歴史があります。 APT28 が関与する著名な作戦には、2016 年の米国民主党全国委員会 (DNC) と米国民主党議会選挙運動委員会 (DCCC) の侵害が含まれており、これらの文書はその後、偽のハクティビストのペルソナ Guccifer 2.0 によって漏洩され、2014 年の侵害、改ざん、データウクライナ中央選挙管理委員会のネットワークとウェブサイトの漏洩とデータ破壊。

ゴーストライター: 4 月に発生した疑いのあるゴーストライター操作では、侵害された疑いのある Web サイトと、侵害された疑いのある、または攻撃者が制御する複数のソーシャル メディア アカウントを利用して、ウクライナ人とポーランド政府との間の不信感を助長することを意図したと思われる物語を宣伝するための捏造されたコンテンツを公開しました。ゴーストライター キャンペーンに起因すると思われる偽のペルソナも、NATO とそのバルト諸国における存在を批判する意見記事の公開と宣伝を続けており、その文脈でウクライナへの言及が増えています。私たちは、ベラルーシがゴーストライター キャンペーンに少なくとも部分的に関与している可能性が高いと、ある程度の自信を持って評価しました。

• 侵略に至るまでの数週間とその後の数週間で、リトアニアを標的とした最近のスピア フィッシング キャンペーンを含め、ベラルーシのスパイ グループ UNC1151 がヨーロッパ諸国を標的に複数のキャンペーンを実施したことを確認しました。 UNC1151 脅威活動に関連する観測された標的は注目に値します。ゴーストライターに起因する情報操作に対するグループの技術サポートを考慮すると、注目に値します。

Niezależny Dziennik Polityczny (NDP) : ロシアのウクライナ侵攻の直後に、同名のオンライン ジャーナルを中心とした情報操作キャンペーンである NDP に関連する資産が、ロシアの戦略的利益の積極的な防御に移行していることを確認しました。この期間中、私たちは、ロシアのプロパガンダと偽情報のエコシステム内の公然の情報源と秘密の情報源の両方によってシードされた物語のキャンペーンの協調的な宣伝を観察しました. NDP キャンペーンが特定のアクターに起因するものではありません。ただし、NDP と Ghostwriter キャンペーンの間には重複が見られます。これは、2 つのキャンペーン間の運用計画に関するある程度の調整または高度な共有知識を示唆している可能性があります。

二次感染: 侵略の前と最中の両方で、「二次感染」と呼ばれる進行中のロシアの影響力が疑われるキャンペーンが活動を続けており、偽造された文書、通信、パンフレット、スクリーンショット、偽の嘆願書やインタビュー。このブログで言及されている特定の二次感染活動はすべて、私たちが初めてその帰属を公に共有している活動です。

Internet Research Agency (IRA) : ロシアの新聞 Fontanka.ru の報道で、Telegram チャネル「Cyber Front Z」に関連する秘密の影響活動の存在が示唆されました。このチャンネルは、ロシア、ウクライナ、西側諸国の視聴者に対して、侵略に関する親ロシアのコンテンツをソーシャル メディア上で協調的に宣伝することに専念しています (図 2)。 Fontanka.ru のレポートによると、Cyber Front Z は、IRA に関連して米国によって認可された団体に関連する個人によって運営されている可能性があり、この Telegram チャネルによって促進された有料の役職は、本物ではないペルソナを使用する「荒らし工場」の一部であると主張しています。複数のプラットフォームで親ロシアのコンテンツを宣伝するため。これらの主張を独自に確認することはできませんが、そのような活動は、既知のIRA資産から以前に観察したものと一致していることに注意してください.

ロシアの諜報機関に関連する秘密のメディア アウトレット:独立した組織として自己紹介しているが、ロシアの諜報機関と関連があると公に報告されているアウトレットを観察しました。これらには、ロシア連邦外国情報局 (SVR)、ロシア連邦連邦保安局 (FSB)、およびロシア連邦軍総参謀総局 (GRU) へのリンクが報告されているアウトレットが含まれます。

ロシア系の「ハクティビスト」グループ:確立されたハクティビストのペルソナである JokerDNR と Beregini は、ウクライナ軍の個人を特定できる情報 (PII) を含む可能性のある漏えいした文書を公開するなど、ロシアの侵略に至るまで、またその後もウクライナを標的に活動を続けています。メンバー。さらに、 Killnet、Xaknet、RahDit など、ロシア国家への関与の度合いがまだ不明な、新しく設立された「ハクティビスト」グループは、分散型サービス拒否 ( DDoS) 攻撃、ハッキング アンド リーク操作、および改ざん。

観察された親ロシア派の物語は、ウクライナ人の士気をくじくものであり、ウクライナと西側同盟国との間の分断を図り、ロシアに対する大衆の認識を強めている

協調的な情報操作によって促進された偽情報の物語は、侵略とそれを取り巻くより大きな地政学的文脈の認識を形成しようとする一連の主張を行ってきました.私たちが観察した物語の多くは、次の 3 つの機能の少なくとも 1 つを果たすことを意図しているように見えます。ウクライナを同盟国から分割する。ロシアに対する認識の強化 (図 3)。この活動の多くは、ウクライナとヨーロッパの視聴者を対象としています。ただし、ロシア国内の視聴者を対象としていると判断したメッセージを促進する情報運用資産も特定しており、ロシアが自国民に戦争を売り込む必要があることを強調しています。

ウクライナ国民の士気をくじく

私たちは、ウクライナ政府や軍の降伏の虚偽の主張を含む、ウクライナ人の士気をくじき、ウクライナ国内の内乱を扇動することを意図していると思われる複数の物語を特定しました。

• 3 月の情報操作では、人工知能 (AI) が生成したゼレンスキーの「ディープ フェイク」ビデオが流布され、ウクライナはロシアに降伏したと述べ、ウクライナ 24 の Web サイトとニュース ティッカーを、ウクライナ 24 のテレビ放送の同じメッセージまたはスクリーンショットで改ざんしました。ディープフェイク ビデオ (図 4)。戦争の開始以来、他のウクライナのウェブサイトも、ウクライナの降伏を主張するメッセージで改ざんされています.
• 3月の二次感染作戦は、ウクライナの軍事的失敗のために自殺を考えていたと主張して、ゼレンスキーが侵略との戦いを主導していたキエフの軍事バンカーで自殺したと誤って主張した.
• 4月からの別の二次感染作戦は、アゾフの「ギャング」がマリウポリで戦闘機を放棄して死ぬためにゼレンスキーに対して復讐を求めたと主張し、アゾフの司令官が民間人のふりをして街から逃げようとしたと主張した. (ここでの物語は特に、ウクライナ国家警備隊内の特殊作戦分遣隊であるウクライナのアゾフ連隊に言及しており、それ自体がより広範な超国家主義運動の一部であり、その一部は白人至上主義のレトリックを支持することが知られている。ウクライナ政府、そしてより広くはウクライナ人をナチスと見なそうとするロシアの物語。)
• ウクライナが GRU に帰属させた電報チャンネルは、ウクライナ政府側の汚職と無能の疑いを浮き彫りにしました。たとえば、ウクライナは紛争に対する準備ができておらず、ウクライナの新興財閥が「ゼレンスキーに国を去る権利を支払った」という主張などです。

ウクライナを同盟国から分割する

• 最近のゴーストライター作戦は、侵害された資産を利用して、ポーランドの犯罪組織がウクライナ難民から臓器を摘出し、欧州連合での違法取引を行っているという物語を宣伝する捏造されたコンテンツを公開しました。国内治安局は、「ポーランドの高官」が関与したと言われている犯罪組織を調査していました。
• NDP と関係があると疑われる偽りの人物によって発行された意見記事は、ポーランドによるウクライナ難民の受け入れをめぐる恐怖、不確実性、疑い (FUD) を生み出すことによって、ポーランドとウクライナの関係を損なうことを意図しているように見える物語を助長しました。これらの物語には、難民がポーランドの経済と医療制度に過度の負担をかけていると描写し、「ネオナチ」または他の望ましくない移民が大量の国境検問所を利用してポーランドの土壌への攻撃を実行し始めるのではないかというポーランド市民の恐怖をかき立てようとする虚偽が含まれていました。 .
• 1 月 14 日と 2 月 23 日にウクライナ政府のウェブサイトが改ざんされたのは、第二次世界大戦中に「ウクライナ反乱軍」（UPA）がポーランド民族に対して犯した戦争犯罪に言及したもので、ロシアとベラルーシの情報作戦で以前に観察されたテーマでした。たとえば、2021 年 11 月のゴーストライター作戦では、極右の政治的傾向を持つウクライナ人志願兵がポーランドに存在するとされることは、同じ戦争犯罪の犠牲者に対する「侮辱」であると述べた、退職したポーランドの将軍からの捏造された説明が取り上げられました。
• 最近のウクライナ語およびロシア語による二次感染作戦では、ウクライナ政府とポーランド政府がポーランド軍をウクライナ西部に配備できるようにしようとしていると主張し、ウクライナ国民にとって忌まわしい動きであると描写しました。 4月初旬のある作戦では、ポーランドがウクライナが上演したとされる「挑発」を使用しようとしたと主張し、ロシア軍がブチャで残虐行為を行って国内に駐留する軍隊を正当化することを示した.2月初旬の作戦では、特定のポーランド軍が配置される場所と、それらの軍隊が何年にもわたってウクライナの大部分を占めることを示唆している (図 5)。
• ウクライナが GRU に帰したテレグラム チャネルからの観測された話には、米国がイランに対して開始した可能性のある戦争など、他の場所で差し迫った紛争に注意をそらしたこともあり、西側諸国はすぐにウクライナを忘れて放棄するだろうという示唆が含まれていた。

ロシアに対する認識の強化

ウクライナにおけるロシアの戦争犯罪を反駁したり、ウクライナ軍に反論したりするなど、否定と偏向を通じてロシアに対する認識を強化することを意図した複数の特定された物語が明らかになった.

• サイバー フロント Z は、親ロシア派の論評を組織的に宣伝する中で、ソーシャル メディア ユーザーに、ウクライナの「ナチス」が民間人をマリウポリの劇場に押し込み、その後爆発させたと主張するよう呼びかけました。
• ウクライナ軍が化学兵器を使用したという主張を含む、ロシア語のメッセージを宣伝するソーシャル メディア アカウントの調整された偽りのネットワークを特定しました。
• これらの報告はまた、ロシアに対する制裁など、ロシアのウクライナ侵攻に対する西側の対応の影響を否定し、そのような措置が西側に悪影響を及ぼしたと主張した.

親中国の情報作戦キャンペーン「DRAGONBRIDGE」のメッセージには、ロシア政府が宣伝する物語の反響が含まれている

DRAGONBRIDGEは、多数のソーシャル メディア プラットフォーム、ウェブサイト、およびフォーラムにまたがる数千の偽のアカウントのネットワークで構成される親中国キャンペーンであり、2019 年に最初に顧客に報告しましたが、ウクライナ危機とその後の侵略に対応して、そのメッセージを変更しました。英語と中国語の DRAGONBRIDGE のコンテンツには、ロシア国営メディアによって宣伝され、ウクライナで生物兵器研究を行っている国防総省関連研究所の存在を主張するなどの影響力のあるキャンペーンが含まれています。特に、そのような物語の反響は珍しいことではなく、他国への不正行為と干渉で米国を非難することは、同様に中国の政治的利益に沿っています。私たちは以前、親中国と親ロシアの両方の情報操作が、危険な研究への米国のバイオラボの関与の疑いに関するコンテンツを促進していることを確認しました。ウクライナに関するロシア寄りの物語をキャンペーンが利用することは、米国と西側諸国の世界的地位を標的にしようとする継続的な試みにおいて、一種の政治的日和見主義を構成する可能性があります。

• 3月6日、ロシア国防省のスポークスパーソンであるイゴール・コナシェンコフは、ウクライナでのロシアの軍事作戦により、ウクライナで国防総省に関連する研究所が生物兵器の研究を行っている証拠が明らかになったと主張した。その後、DRAGONBRIDGE のアカウントは、米国が資金提供したバイオラボがウクライナだけでなく世界中に存在したという主張を含め、この主張を増幅しました。
• DRAGONBRIDGE の説明はまた、ウクライナの疑惑のバイオラボが「謎のアウトブレイク」の原因であり、その性質は説明されていないこと、そして世界の他の場所のバイオラボも同様に地域住民に害を及ぼしていることをほのめかしました (図 6)。

侵略に関する DRAGONBRIDGE のメッセージは、米国が利己的な行動をとっており、同盟における信頼できないパートナーであるという主張を通じて、米国の外交政策と他国との関係を狙っているようにも見えた。ウクライナへの武器売却を引き合いに出して、米国が最も利益を得ようとしている紛争の火種を扇動しようとしたと主張する報告もあれば、ロシアに対する制裁措置に関する米国とヨーロッパの見かけ上の政策の一致に疑問を投げかける報告もある。米国は、欧州大陸のエネルギー問題が深刻化しているにもかかわらず、欧州をいじめてこれらの制裁を制定させた。

親イランの情報操作は、紛争に対する西側の対応を中傷し、ロシアとイスラエルの関係を狙う

同様に、Mandiant は、西側諸国、サウジアラビア、およびイスラエルを狙うために、侵略に関する物語を利用するイランおよび親イランの情報作戦を観察した。関与したキャンペーンには、 Liberty Front Press (LFP) キャンペーンが含まれており、イランと同盟を結んでいる Endless Mayfly の影響力との潜在的な関連性があるため、「Roaming Mayfly」と呼んでいる以前は名前を付けていなかった親イラン キャンペーンからの活動も含まれています。 シチズン ラボが 2019 年に報告したキャンペーン。

• アラビア語の聴衆に向けられたメッセージは、米国が2021年にアフガニスタンから逃亡し、「アメリカの悪の枢軸」との同盟のためにその運命に値するウクライナを放棄したと主張した。同様に、英語のコンテンツは、NATO がロシアとの戦争に関与することを避けるためにウクライナを犠牲にしたことを断言しました。
• 親イランの情報作戦資産はまた、ウクライナが核兵器を放棄すべきではなかったと宣言し、そのような譲歩がウクライナをその後の侵略に対して脆弱なままにしていたことを暗示している.
• 親イランの情報作戦はまた、ウクライナでの戦争とイエメンでの戦争を並置することによって、ロシアと比較して、サウジアラビアとの取引における西側諸国の偽善を非難するために紛争を利用している.接線的には、資産はアラブ人やイスラム教徒に対する西側の人種差別の非難を平準化し、中東での紛争と比較してウクライナでの紛争への対応の違いを指摘した.

また、ローミング カゲロウが開戦前夜にロシアの視聴者をターゲットにしており、ロシアとイスラエルの間の緊張を高めるためにこの危機を利用しようとしているように見えました。つまり、キャンペーンは、ロシアのジャーナリストであり外交政策思想家であるフョードル・ルキャノフの（現在は停止されている）なりすましを利用して、イスラエルの諜報機関が現在の危機でロシアに対してウクライナを支援していること、およびイスラエルが「ウクライナの色」を支持していたことを示唆するツイートを公開しました。 2000 年、2004 年、2014 年の [revolutions]」 (図 7)。

見通し

ロシアのウクライナ侵攻の文脈で観察された情報操作は、地上での出来事に対応する、または形成しようとする戦術的目的と、変化する地政学的景観に影響を与えようとする戦略的目的の両方を示しています。これらの作戦は、ウクライナに非常に大きな脅威をもたらしましたが、米国や他の西側諸国にも脅威を与えました。その結果、紛争が進行するにつれて、サイバー脅威活動やその他の破壊的および破壊的な攻撃を含む可能性のある活動を含む、そのような活動が続くと予想されます。

これまでに知られているアクターによる作戦の注目すべき特徴の 1 つは、それぞれのキャンペーンの確立された動機と明らかに一致していることです。ロシア、ベラルーシ、および親ロシアのアクターに起因するものを含むロシアと連携した作戦は、これまでのところ、紛争自体に直接関連する戦術的および戦略的目的をサポートするために、最も幅広い戦術、技術、および手順（TTP）を採用しています。これは、現地の事実がロシアのウクライナでの出来事に影響を与え、国内のロシアの支援を集め、ロシアの行動に対する世界的な認識を管理する必要性を形成する場合に特に有益です.一方、親中国および親イランのキャンペーンは、ロシアの侵略を日和見的に利用して、長年の戦略的目標をさらに前進させてきました。同様に、この力関係が続くと予想しており、紛争をめぐる情報操作活動の範囲の拡大を積極的に監視しています。