Trace Id is missing
メイン コンテンツへスキップ
Security Insider

広範さと実効性において深刻化が進む、東アジア発のデジタル脅威

ダウンロード
共有
コンピューターの前に座っている人

はじめに

中国が広範な サイバー作戦と影響工作 (IO) の両方を実施し、北朝鮮のサイバー脅威アクターのさらなる巧妙化が示されていることから、東アジア全体の脅威の状況が急速に変化しており、いくつかの新たな傾向があらわになっています。

まず、中国国家系のサイバー脅威グループは、南シナ海地域に特に重点を置き、この海域を囲む政府やその他の重要な団体にサイバー スパイ活動を向けています。一方、中国が米国の防衛部門を標的にし、 米国のインフラストラクチャのシグナル を深く探っていることより、中国の外交関係や戦略的軍事目標のために競争上の優位を得ようとしていることが示唆されています。

第二に、中国はこの 1 年で、 ソーシャル メディア  ユーザーを IO に関与させることをより効果的に行うようになりました。中国のオンライン影響工作活動は長い間、膨大な量の正当ではないソーシャル メディア アカウントのネットワークに依存してユーザーにリーチしてきました。しかし、2022 年以降、中国と連携するソーシャル メディア ネットワークは、ソーシャル メディア上での正当なユーザーを直接関与させ、米国の有権者を装って米国の選挙に関するコンテンツで特定の候補者を標的にしました。これとは別に、中国国家系の多言語ソーシャル メディア インフルエンサー イニシアティブは、少なくとも 40 の言語で対象となる視聴者の取り込みに成功し、その視聴者は 1 億 300 万人を超えるまでに成長しました。

第三に、中国は昨年、IO 活動の規模を拡大し続け、新たな言語や新たなプラットフォームへの取り組みを拡大し、世界的な侵入形跡を増やしています。ソーシャル メディアでは、キャンペーンで数十の Web サイトにわたって数千の正当ではないアカウントが配置され、複数の言語でミーム、ビデオ、記事が拡散されています。オンライン ニュース メディアでは、中国国営メディアは戦略的に、自らを中国に関する国際的な論説における権威ある代弁者と位置づけ、さまざまな手段を使って世界中のメディアに影響力を及ぼしています。あるキャンペーンでは、35 か国以上の中国系のディアスポラに向けて、ローカライズされたニュース サイトを通じて中国共産党 (CCP) のプロパガンダを押し進めました。

最後に、北朝鮮ですが、これは中国とは異なり、巧妙な影響工作アクターとしての能力を欠いていますが、依然として手ごわいサイバー脅威です。北朝鮮はインテリジェンスの収集に継続的に関心を示しており、他の戦術の中でも、連鎖的なサプライ チェーン攻撃や暗号通貨の窃盗などの戦術を活用することで、戦術の巧妙化を進めています。

中国のサイバー作戦は、新たに南シナ海および米国の主要産業における戦略的目標に注力

2023 年に入ってから、Microsoft 脅威インテリジェンスは、中国国家系のサイバー脅威アクターが特に注力している 3 つの領域、すなわち南シナ海、米国の防衛産業基盤、米国の重要インフラストラクチャを特定しました。

南シナ海における戦略的目標を反映した中国国家当局支援による標的の設定

中国国家系の脅威アクターは、南シナ海と台湾に継続的な関心を示していますが、これはこの地域における中国の幅広い経済的、防衛的、政治的利益を反映しています。1領有権主張の対立、海峡両岸の緊張の高まり、米軍のプレゼンス向上はすべて、中国の攻撃的サイバー活動の動機となっている可能性があります。2

Microsoft は、南シナ海を囲む国々を標的とする主要な脅威グループとして、Raspberry Typhoon (RADIUM) を追跡してきました。Raspberry Typhoon は一貫して、政府省庁、軍事機関、重要インフラストラクチャ (特に電気通信) に接続する企業団体を標的としています。2023 年 1 月以降、Raspberry Typhoon は特に執拗な動きを見せています。政府省庁やインフラストラクチャを標的とするとき、Raspberry Typhoon は通常、インテリジェンスの収集とマルウェアの実行を実施します。多くの国で、標的は防衛やインテリジェンス関連の省庁から経済や貿易関連の省庁までさまざまです。

Flax Typhoon (Storm-0919) は、台湾島を標的とする最も著名な脅威グループです。このグループは主に電気通信、教育、情報技術、エネルギー インフラストラクチャを標的としており、通常、カスタム VPN アプライアンスを活用して標的のネットワーク内に直接プレゼンスを確立します。同様に、Charcoal Typhoon (CHROMIUM) は、台湾の教育機関、エネルギー インフラストラクチャ、ハイテク製造業を標的としています。2023 年には、Charcoal Typhoon と Flax Typhoon の両方が、台湾軍と契約している台湾の航空宇宙事業体を標的としていました。

国ごとに確認された事象を強調表示した南シナ海地域の地図
図 1: 2022 年 1 月から 2023 年 4 月までの南シナ海における国ごとに確認された事象。この画像の詳細については、レポート全文の 4 ページをご覧ください

米国が海兵隊基地を建設する中、中国の脅威アクターがグアムに目を向ける

Circle Typhoon (DEV-0322)、Volt Typhoon (DEV-0391)、Mulberry Typhoon (MANGANESE) という、中国を拠点とする複数の脅威グループが、米国の防衛産業基盤を標的とし続けています。これら 3 つのグループの標的は時折重なるものの、インフラストラクチャも能力も異なる別のアクターです。3

Circle Typhoon は、リソース開発、収集、初期アクセス、資格情報アクセスなど、米国の防衛産業基盤に対する幅広いサイバー活動を行っています。Circle Typhoon は、しばしば VPN アプライアンスを活用し、IT および米国に拠点を置く防衛関連業者を標的としています。また、Volt Typhoon は多数の米国防衛関連業者に対して偵察を行っています。グアムは、このようなキャンペーンの最も頻繁な標的の一つであり、特にそこに収容されている衛星通信および電気通信が標的となっています。4

Volt Typhoon が頻繁に使う手口は、小規模なオフィスや家庭のルーターを侵害するもので、通常はインフラストラクチャの構築を目的としています。5Mulberry Typhoon も米国の防衛産業基盤を標的としており、特にデバイスを標的としたゼロデイ悪用が有名です。6グアムが東アジアに最も近い米国領土であり、同地域における米国の戦略にとってきわめて重要であることを考えると、グアムを標的とした攻撃が増加することによる影響は重大です。

中国の脅威グループが米国の重要インフラストラクチャを標的に

Microsoft は、過去 6 か月間、複数の分野にまたがる米国の重要インフラストラクチャを標的とする中国国家系の脅威グループと、重要なリソース開発を確認しました。Volt Typhoon は、少なくとも 2021 年の夏以降、この活動の背後にいる主要なグループであり、この活動の範囲はまだ完全には分かっていません。

標的となっている分野には、運輸 (港湾や鉄道など)、公益事業 (エネルギーや水処理など)、医療インフラストラクチャ (病院など)、通信インフラストラクチャ (衛星通信や光ファイバー システムなど) などが含まれます。Microsoft は、このキャンペーンによって、中国が米国とアジア間の重要なインフラストラクチャと通信を混乱させる可能性があると評価しています。7

中国を拠点とする脅威グループ、米国政府機関を含む約 25 の組織を標的に

5 月 15 日以降、中国を拠点とする脅威アクターである Storm-0558 は、偽造された認証トークンを使用して、米国およびヨーロッパの政府機関を含む約 25 の組織の Microsoft 顧客メール アカウントにアクセスしました。8Microsoft はこのキャンペーンのブロックに成功しました。この攻撃の目的は、メール アカウントへの不正アクセスを取得することでした。Microsoft は、この活動は Storm-0558 のスパイ活動の目的と一致していると判断しています。Storm-0558 は、以前にも米国およびヨーロッパの外交機関を標的としていました。

中国は戦略的パートナーも標的にしている

中国が "一帯一路構想 (BRI)" を通じて二国間関係やグローバル パートナーシップを拡大する中、中国国家系の脅威アクターは、世界中の民間および公的の団体に対して、並行してサイバー作戦を実施しています。中国を拠点とする脅威グループは、カザフスタン、ナミビア、ベトナムなど、中国共産党の BRI 戦略に沿った国々を標的としています。9一方、中国の広範な脅威活動は、ヨーロッパ、ラテン アメリカ、アジア全域に拠点を置く外国省庁を一貫して標的としており、これはおそらく、経済スパイ活動やインテリジェンス収集の目的を追求するものです。10中国が世界的な影響力を拡大するにつれ、関連する脅威グループの活動もそれに追随するようになっています。最近では、2023 年 4 月に Twill Typhoon (TANTALUM) がアフリカとヨーロッパの政府機関や世界中の人道支援組織への侵害に成功しています。

中国共産党と連携したソーシャル メディア作戦が、視聴者との効果的なエンゲージメントを高める

現在の中国共産党系の非公然の影響工作は、以前に確認されていたものよりも広範囲にわたってソーシャル メディア上でターゲットとする視聴者と関与を深め始めており、オンライン IO アセットの巧妙化と洗練化を表しています。2022 年の米国中間選挙を前に、Microsoft と業界パートナーは、米国の有権者になりすました中国共産党系のソーシャル メディア アカウントを確認しました。これは、中国共産党系 IO の新たな領域です。11これらのアカウントは、さまざまな政治的スペクトルの米国人を装い、本物のユーザーからのコメントに反応していました。

これらのアカウントは、行動と内容の両方において、十分に文書化された中国の IO の戦術、技術、手順 (TTP) の多くを示しています。たとえば、初期段階では中国語で投稿し、その後他の言語に切り替え、投稿後すぐに中国系アセットの他のコンテンツに関連させる、"シードと増幅器" のような相互作用のパターンを使用する、などがあります。12中国共産党系のアクターによる初期の IO キャンペーンが、コンピューターが生成したハンドルネーム、表示名、プロフィール写真を使用していたのとは異なり13、これらのより巧妙化されたアカウントは、中国共産党との関係を隠すために架空の、または盗まれた ID を使用する実在の人物によって運営されています。

このネットワークのソーシャル メディア アカウントは、中国公安部 (MPS) 内の "912 特殊工作グループ" と呼ばれるエリート集団が行っていると報告される活動と類似した行動を示しています。米国司法省によると、このグループはソーシャル メディアのトロールファームを運営し、何千もの偽のオンライン ペルソナを作成し、民主化活動家を標的に中国共産党のプロパガンダを押し進めていました。

2023 年 3 月頃から、西側ソーシャル メディア上の中国の IO と疑われるアセットの一部が、生成人工知能 (AI) を活用してビジュアル コンテンツを作成し始めています。この比較的質の高いビジュアル コンテンツは、すでに本物のソーシャル メディア ユーザーが深く関与しています。これらの画像は拡散力による画像生成の特徴を備えており、以前のキャンペーンにおけるぎこちないビジュアル コンテンツよりも人目を引くものとなっています。たとえば、人の手の指が 5 本以上あるなど、AI 生成の一般的な指標があるにもかかわらず、ユーザーはこれらのビジュアルをより頻繁に再投稿しています。14

Black Lives Matter の画像を横に並べたソーシャル メディアへの投稿。
図 2: 中国共産党系の自動アカウントによって最初にアップロードされた Black Lives Matter のグラフィックは、その 7 時間後に米国の保守派有権者になりすましたアカウントによってアップロードされました。
AI が生成した自由の女神のプロパガンダ画像。
図 3: 中国の IO アセットと疑われる人物が投稿した AI 生成画像の例。聖火を持つ自由の女神の手には 5 本以上の指があります。この画像の詳細については、レポート全文の 6 ページをご覧ください
ジャーナリスト、ライフスタイル インフルエンサー、同業者、少数民族という 4 つのインフルエンサー カテゴリを、公然から非公然まで連続的に配列。
図 4: このイニシアティブでは、インフルエンサーをその経歴、標的となる対象者、採用、経営戦略に基づいて 4 つの大きなカテゴリに分類しています。分析の対象としたすべての人物は、中国国営メディアと直接的なつながり (雇用、旅行招待の受け入れ、その他の金銭的なやりとりなど) を持っています。この画像の詳細については、レポート全文の 7 ページをご覧ください

中国国営メディアのインフルエンサー イニシアティブ

中国共産党の "多言語インターネット セレブリティ スタジオ" (多语种网红工作室) というコンセプトは、ソーシャル メディア上で意味のあるエンゲージメントを引き出すもう一つの戦略です。15正当な意見の力を活用し、230 人以上の国営メディアの職員と関連会社が、欧米の主要なソーシャル メディア プラットフォームすべてにおいて、独立したソーシャル メディア インフルエンサーになりすましています。16 2022 年と 2023 年には、平均 7 週間ごとに新しいインフルエンサーが登場しています。中国国際放送 (CRI) やその他の中国国営メディアによって採用され、訓練され、宣伝され、資金を提供されたこれらのインフルエンサーたちは、世界中のターゲットとなる視聴者との有意義なエンゲージメントを達成するために、中国共産党のプロパガンダを専門的にローカライズして広め、少なくとも 40 の言語の複数のプラットフォームで、少なくとも 1 億 300 万人のフォロワーにリーチしています。

インフルエンサーはほとんどが無害なライフスタイルのコンテンツを投稿していますが、この手法は、海外での中国のイメージを和らげようとする中国共産党に沿ったプロパガンダを偽装したものです。

中国国営メディアのインフルエンサー採用戦略は、ジャーナリズム (特に国営メディア) で働いた経験のある者と、外国語課程を卒業したばかりの者という、2 つの異なるグループを採用しているようです。特に、中央広播電視総台 (CRI と CGTN の親会社) は、北京外国語大学や中国伝媒大学のような中国のトップ外国語学校の卒業生を直接採用しているようです。大学から直接スカウトされた以外の人は、元ジャーナリストや翻訳者であることが多く、彼らはインフルエンサーとして "リブランディング" した後、プロフィールから国営メディア所属の明示的な標識を削除しています。

ラオス語を話すインフルエンサーの Song Siao が、COVID-19 が流行するなか、中国の経済回復について語るライフスタイル ブログを投稿しています。
図 5: ラオス語を話すインフルエンサーの Song Siao が、COVID-19 が流行するなか、中国の経済回復について語るライフスタイル ブログを投稿しています。自分で撮影したビデオでは、北京の自動車販売店を訪れ、地元の人々と話をしています。この画像の詳細については、レポート全文の 8 ページをご覧ください
英語話者のインフルエンサー、Techy Rachel のソーシャル投稿。
図 6: 英語話者のインフルエンサーで、通常は中国の技術革新やテクノロジについて投稿している Techy Rachel が、自身のコンテンツ テーマから外れて、中国のスパイ バルーン論争について意見を述べました。他の中国国営メディアと同様、彼女は気球がスパイ活動に使われたことを否定しています。この画像の詳細については、レポート全文の 8 ページをご覧ください

インフルエンサーは少なくとも 40 の言語で世界中の視聴者にリーチしている

これらの国家系インフルエンサーが話す言語の地理的分布は、中国の世界的影響力の増大と地域優先主義を表しています。ヒンディー語、シンハラ語、パシュトゥー語、ラオス語、韓国語、マレー語、ベトナム語など、中国語を除くアジアの言語を話すインフルエンサーが最も多くなっています。英語話者のインフルエンサーは 2 番目に多くなっています。
中国国営メディアのインフルエンサーの言語別の内訳を表した 5 つの円グラフ。
図 7: 中国国営メディアのインフルエンサーの言語別の内訳。この画像の詳細については、レポート全文の 9 ページをご覧ください

世界中の視聴者をターゲットにする中国

インフルエンサーは、地理的地域に分けられた 7 つのオーディエンス スペース (言語グループ) をターゲットとしています。英語と中国語のオーディエンス スペースのチャートは表示されていません。

中国の IO が複数のキャンペーンで世界的なリーチを拡大

中国は 2023 年、新たな言語と新たなプラットフォームで視聴者にリーチすることで、オンライン IO の規模をさらに拡大しました。これらの作戦は、高度に統制された表向きの国営メディア組織と、中国共産党が好むシナリオを洗練した印象になるよう操作して増幅する、ボットを含む秘密または難読化されたソーシャル メディア アセットとを組み合わせたものです。17

Microsoft は、2022 年 1 月に始まり、本記事の執筆時点でも継続している、このような中国共産党と連携したキャンペーンの 1 つを確認しました。これは、スペインの非政府組織 (NGO) "Safeguard Defenders" が、50 を超える海外の中国警察署の存在を暴露した後、これを標的にしたものです。18 このキャンペーンは、複数のソーシャル メディア プラットフォームと数十の Web サイトに 1,800 以上のアカウントを配置し、中国共産党の意図に沿ったミーム、ビデオ、米国や他の民主主義国を批判するメッセージを拡散させました。

これらのアカウントは新たな言語 (オランダ語、ギリシャ語、インドネシア語、スウェーデン語、トルコ語、ウイグル語など) や新しいプラットフォーム (Fandango、Rotten Tomatoes、Medium、Chess.com、VK など) でメッセージを発信しました。この作戦の規模と持続性にもかかわらず、その投稿に正当なユーザーが意味のある関与をすることはほとんどなく、こうした中国のネットワーク活動の未発達な性質が浮き彫りになっています。

おなじみのテクノロジ ブランドのロゴ 30 個を、16 の言語リストとともに紹介しています。
図 8: CCP の意図に沿った IO コンテンツは、多くのプラットフォーム、多くの言語で検出されています。この画像の詳細については、レポート全文の 10 ページをご覧ください
台湾語ビデオ プロパガンダの例のスクリーン キャプチャを横並びで表示しています
図 9: 台湾政府に北京への "降伏" を呼びかける台湾語ビデオの投稿が大量にシェアされました。インプレッションとシェアの大きな差は、協調的な IO 活動を強く示しています。この画像の詳細については、レポート全文の 10 ページをご覧ください

中国共産党ニュース Web サイトのベールに包まれた世界ネットワーク

中国共産党系 IO の広がりを示すもうひとつのデジタル メディア キャンペーンは、中国共産党が掲げる "世界中の中国語メディアの権威ある代弁者である" という目標を支援する、主に中国語で書かれた 50 以上のニュース Web サイトのネットワークです。19 これらの Web サイトは、世界各地のさまざまな中国系のディアスポラ コミュニティに向けた、ほとんど独立した無所属の Web サイトのように見えますが、技術的な指標、Web サイトの登録情報、共有コンテンツから、中国共産党の統一戦線工作部 (UFWD、特に "華僑" との連携によって、中国の国境を越えて中国共産党の影響力を強化する役割を担う組織) に関係していると、Microsoft は強い自信をもって判断しています。20
世界の中国系ディアスポラをターゲットにした 20 以上の中国語 Web サイトのロゴが入った世界地図。
図 10: このメディア戦略の一部であると評価される、世界の中国系のディアスポラを対象とする Web サイトの地図。  この画像の詳細については、レポート全文の 11 ページをご覧ください

これらのサイトの多くは IP アドレスを共有しているため、Microsoft Defender 脅威インテリジェンスでドメイン解像度を照会することで、ネットワーク内のより多くのサイトを発見することができました。Web サイトの多くはフロントエンドの Web HTML コードを共有しており、コードに埋め込まれた Web 開発者のコメントでさえ、異なる Web サイト間で同一であることがよくあります。そのうちの 30 以上のサイトは、同じアプリケーション プログラミング インターフェイス (API) とコンテンツ管理システムを利用しており、そのシステムは UFWD のメディア エージェンシーである中国新聞社 (CNS) の "完全子会社" によるものでした。21 さらに中国工業情報化部の記録から、この UFWD 系列のハイテク企業と別の企業が、このネットワークに少なくとも 14 のニュース サイトを登録していることが明らかになっています。22 このように子会社や第三者のメディア企業を利用することで、UFWD は直接的な関与を隠しつつ、世界中の視聴者にリーチすることができるのです。

これらの Web サイトは、独立したニュース プロバイダーであるかのように装いながら、同じ中国国営メディアの記事を頻繁に再掲載し、多くの場合、そのコンテンツのオリジナル ソースであると主張しています。これらのサイトは国際ニュースを幅広くカバーし、一般的な中国国営メディアの記事を掲載していますが、政治的に敏感なテーマについては圧倒的に中国共産党の好むシナリオに沿ったものになっています。たとえば、この Web サイトのネットワーク内の数百の記事は、COVID-19 ウイルスが Fort Detrick の米軍生物学研究所で製造された生物兵器であるという虚偽の主張を宣伝しています。23 また、サイトでは、COVID-19 ウイルスは中国ではなく米国で発生したという中国政府高官の声明や国営メディアの記事も頻繁に流布しています。これらの Web サイトは、中国共産党の統制が中国語のメディア環境にどの程度浸透しているかの例となっており、共産党が敏感なテーマに関する批判的な報道をかき消すことを可能にしています。

このコード図は、複数のサイトが発表した記事が重複していることを示しています。
図 11: Web サイトはその地域独自のものとして表示されていますが、同一のコンテンツを共有しています。このコード図は、複数のサイトが発表した記事が重複していることを示しています。この画像の詳細については、レポート全文の 12 ページをご覧ください
中国新聞社の記事が、イタリア、ハンガリー、ロシア、ギリシャの視聴者をターゲットにした Web サイトにどのように再掲載されたかを示すスクリーンショット。
図 12: 中国新聞社をはじめとする中国国営メディアは、"WHO の声明がウクライナの米国の暗黒微生物研究所を暴露" と題する記事を掲載しました。この記事はその後、ハンガリー、スウェーデン、西アフリカ、ギリシャの読者をターゲットにした Web サイトに掲載されました。この画像の詳細については、レポート全文の 12 ページをご覧ください

中国国営メディアのグローバル リーチ

上記のキャンペーンはその難解さにおいて注目に値しますが、真正の中国国営メディアの Web サイトは、中国共産党が指示するメディアの世界的な視聴者層の大部分を占めています。外国語への拡大24、海外での中国国営メディア支局の開設25、中国政府に友好的なコンテンツの無料提供26により、中国共産党は世界各国のニュース メディアにプロパガンダを注入し、"話語権" (话语权) の範囲を広げています。27
中国共産党の公然のプロパガンダのエコシステム スナップショットを表す組織図。
図 13: 中国共産党の公然のプロパガンダのエコシステムの一部を形成する部門と団体のスナップショットを表す組織図。この画像の詳細については、レポート全文の 13 ページをご覧ください

中国国営メディアの Web サイトへのトラフィックを測定

Microsoft の AI for Good Lab は、中国政府が過半数を所有する放送局への中国国外のユーザーからのトラフィックの流れを測定する指標を開発しました。この指数は、2022 年 6 月に導入されたロシア プロパガンダ指数 (RPI) のように、インターネット上のトラフィック全体に占める、これらのサイトを訪れるトラフィックの割合を測定するものです。28

5 つのドメインが中国国営メディアの消費を独占しており、中国国営メディアのページ ビューの約 60% を占めています。

中国メディアの消費を示すグラフ
この画像の詳細については、レポート全文の 14 ページをご覧ください

この指標は、中国の国営メディア放送局の相対的な成功の傾向を、地理的に時系列で明らかにすることができます。たとえば、東南アジア諸国連合 (ASEAN) 加盟国の中では、シンガポールとラオスが際立っており、中国国営メディアの Web サイトへの相対的なトラフィックは、3 位のブルネイの 2 倍以上となっています。フィリピンは最下位であり、中国国営メディアの Web サイトへのトラフィックはシンガポールとラオスの 30 倍以下です。標準中国語が公用語であるシンガポールでは、中国国営メディアの消費が多く、中国が標準中国語のニュースに与える影響力を反映しています。ラオスで中国語を話す人の数は圧倒的に少ないですが、つまりこれは、同国の環境における中国国営メディアが相対的に成功していることを反映しています。

最もアクセス数の多いドメイン、PhoenixTV のホーム ページのスクリーンショット。
図 14: 全ページ ビューの 32% を占め、最もアクセス数の多いドメイン、PhoenixTV のホーム ページ。この画像の詳細については、レポート全文の 14 ページをご覧ください

巧妙化する北朝鮮のサイバー作戦、インテリジェンスの収集と国家への収入源に

北朝鮮のサイバー脅威アクターは、(1) 敵であると認識される国家、つまり韓国、米国、日本の活動に関するインテリジェンスの収集、(2) 自国の軍事能力を向上させるための他国の軍事能力に関するインテリジェンスの収集、(3) 国家のための暗号通貨資金の収集を目的としたサイバー作戦を遂行しています。過去 1 年間で、Microsoft は、北朝鮮の別個の脅威アクターの間で標的の重複が拡大し、北朝鮮の活動グループの巧妙度が高まっていることを確認しました。

北朝鮮のサイバー優先事項は、海洋技術研究、水中ドローンや車両の試験を行っている

過去 1 年間で、Microsoft 脅威インテリジェンスは、北朝鮮の脅威アクターの間で標的の重複が拡大していることを確認しました。たとえば、3 者の北朝鮮脅威アクター、Ruby Sleet (CERIUM)、Diamond Sleet (ZINC)、Sapphire Sleet (COPERNICIUM) は、2022 年 11 月から 2023 年 1 月にかけて、海洋および造船セクターを標的としていました。Microsoft はこれまで、北朝鮮の複数の活動グループ間でこのレベルの標的の重複を確認したことはなく、当時の北朝鮮政府にとって海洋技術研究が高い優先事項であったことを示唆しています。2023 年 3 月、北朝鮮は韓米軍事演習 "Freedom Shield" に先立ち、警告として潜水艦から 2 発の戦略巡航ミサイルを日本海に向けて試射したと報じられました。同月末から翌月にかけて、北朝鮮は東海岸沖から日本海に向けて、2 機の海底攻撃型ドローン "ヘイル" の発射実験を行ったとされます。これらの海上軍事能力試験は、北朝鮮の 3 つのサイバー グループがインテリジェンスの収集のために海上防衛を標的にした直後に行われました。

北朝鮮政権が優先度の高い収集要件を設定し、脅威アクターが防衛企業を危険にさらす

2022 年 11 月から 2023 年 1 月にかけて、Microsoft は、Ruby Sleet と Diamond Sleet が防衛企業のセキュリティを侵害する、標的が重複した 2 例目の事例を確認しました。この 2 者の脅威アクターは、ドイツとイスラエルを拠点とする武器製造企業 2 社のセキュリティを侵害しました。これは、北朝鮮政府が国の軍事能力を向上させるための優先度の高い収集要件を満たすために、複数の脅威アクター グループを一度に割り当てていることを示唆しています。2023 年 1 月以降、Diamond Sleet はブラジル、チェコ、フィンランド、イタリア、ノルウェー、ポーランドの防衛関連企業のセキュリティ侵害も行っています。
北朝鮮が最もターゲットにしている国別の防衛産業を示す円グラフ
図 15: 北朝鮮の国別防衛産業のターゲット (2022 年 3 月 - 2023 年 3 月)

ロシア政府と防衛産業は依然として北朝鮮の情報収集の標的

最近、複数の北朝鮮の脅威アクターがロシア政府と防衛産業を標的にしています。同時に、ウクライナ戦争におけるロシアへの物資支援も行っています。32 2023 年 3 月、Ruby Sleet はロシアの航空宇宙研究機関のセキュリティを侵害しました。さらに、Onyx Sleet (PLUTONIUM) は、3 月上旬にロシアの大学のデバイスを侵害しました。これとは別に、Opal Sleet (OSMIUM) とされる攻撃者アカウントが、同月中にロシアの外交政府機関に属するアカウントにフィッシング メールを送信しています。北朝鮮の脅威アクターは、ロシアがウクライナでの戦争に集中していることから、それを巧みに利用してロシアの組織のインテリジェンス収集を行っている可能性があります。

北朝鮮のグループ、暗号通貨窃盗とサプライ チェーン攻撃でより巧妙な作戦を示す

Microsoft は、北朝鮮の活動グループが暗号通貨の窃盗やサプライ チェーン攻撃を通じて、ますます巧妙な作戦を展開していると判断しています。2023 年 1 月、米国連邦捜査局 (FBI) は、2022 年 6 月に Harmony の Horizon Bridge から 1 億米国ドルの暗号通貨が強奪された事件について、Lazarus Group/APT38 こと Jade Sleet (DEV-0954) の犯行であると公表しました。33さらに、Microsoft は、2022 年に米国を拠点とする金融技術企業のサプライ チェーン侵害を利用した 2023 年 3 月の 3CX サプライ チェーン攻撃を Citrine Sleet (DEV-0139) の犯行であると公表しました。これは、既存のサプライ チェーン侵害を利用して別のサプライ チェーン攻撃を行う活動グループを Microsoft が確認した初めての例であり、北朝鮮のサイバー作戦が巧妙化していることを示しています。

Emerald Sleet は、外交政策に関するインサイトで専門家を誘い、返信させるという、絶対確実なスピア フィッシングの手口を展開している

Emerald Sleet (THALLIUM) は、Microsoft が過去 1 年間に追跡した中で、依然として最も活発な北朝鮮の脅威アクターです。Emerald Sleet は、インテリジェンスの収集を目的として、世界中の朝鮮半島の専門家に頻繁にスピア フィッシング メールを送り続けています。2022 年 12 月、Microsoft 脅威インテリジェンスは、米国および米国同盟国の影響力のある北朝鮮専門家を標的とした Emerald Sleet のフィッシング キャンペーンについて詳しく報告しました。Microsoft は、Emerald Sleet が悪意のあるファイルや悪意のある Web サイトへのリンクを展開するのではなく、ユニークな戦術を採用していることを発見しました。それは、評判の高い学術機関や NGO になりすまして被害者をおびき寄せ、北朝鮮に関連する外交政策に関する専門家のインサイトやコメントを返信させるというものです。

能力: 影響力

北朝鮮は過去 1 年間、YouTube や TikTok といった動画共有ソーシャル メディア プラットフォームで限定的な影響工作を行ってきました。34 YouTube 上の北朝鮮のインフルエンサーは、ほとんどが少女や女性で、中には 11 歳の少女もおり、日常生活についての Vlog を投稿し、体制についての肯定的な物語を宣伝しています。インフルエンサーの中には、より広く世界の視聴者にリーチすることを意図して、動画のなかで英語を話す人もいます。北朝鮮のインフルエンサーは、中国の国営メディアが支援するインフルエンサー イニシアティブに比べると、はるかに効果が低いです。

今後の見通し、地政学的な緊張によりサイバー活動や影響工作に拍車がかかる

中国はここ数年、サイバー能力を拡大し続け、IO キャンペーンにおいてより野心的な姿勢を示しています。近い将来、北朝鮮は引き続き、この地域における自国の政治的、経済的、防衛的利益に関連する標的に焦点を当てるでしょう。あらゆる大陸で、中国共産党の地政学的目標の敵対勢力と支持勢力の両方に対するより広範なサイバー スパイ活動が予想されます。中国を拠点とする脅威グループは目覚ましいサイバー能力を開発し、活用し続けていますが、ハックアンドリーク キャンペーンを展開するイランやロシアとは異なり、中国がサイバーと影響工作を組み合わせることは確認されていません。

他の悪質な影響工作アクターとは比較にならない規模で活動する中国系影響工作アクターは、今後 6 か月の間にいくつかの重要なトレンドやイベントを利用する態勢を整えています。

第一に、ビデオや映像メディアを利用した作戦が常態化しています。中国共産党系のネットワークは以前から、AI が生成したプロフィール写真を活用しており、今年は AI が生成したビジュアル ミーム用のアートを採用しています。国家支援のアクターも引き続き、民間のコンテンツ スタジオや広告会社を活用して、プロパガンダをオンデマンドでアウトソーシングするでしょう。35

第二に、中国は引き続き、正当のオーディエンス エンゲージメントを追求し、培ったソーシャル メディア アセットに時間とリソースを投資するでしょう。深い文化的および言語的知識と質の高い動画コンテンツを持つインフルエンサーは、ソーシャル メディア エンゲージメントを成功させている先駆者です。中国共産党は、ソーシャル メディア ユーザーとの交流や文化的ノウハウの実証など、こうした戦術の一部を応用し、非公然のソーシャル メディア キャンペーンを強化するでしょう。

第三に、台湾と米国は、特に 2024 年に両国で選挙が予定されていることから、中国の IO にとって引き続き最優先事項のうちの 2 つになる可能性が高くなっています。中国共産党と連携した影響工作アクターが、過去に米国の選挙をターゲットにしたことがあることを考えると、彼らが再びそうすることはほぼ確実です。米国の有権者になりすましたソーシャル メディア アセットは、より巧妙化し、米国を激しく批判する内容で人種的、社会経済的、イデオロギー的な確執を積極的に生じさせるでしょう。

  1. [1]
  2. [2]

    フィリピンの新しい基地が、この地域における米軍のプレゼンスを高める、https://go.microsoft.com/fwlink/?linkid=2262254

  3. [3]

    現時点では、両グループを結びつける証拠は不十分です。

  4. [4]
  5. [5]
  6. [6]
  7. [7]
  8. [8]
  9. [9]
  10. [10]
  11. [11]
  12. [12]
  13. [13]
  14. [14]
  15. [15]
  16. [16]
    https://go.microsoft.com/fwlink/?linkid=2262092https://go.microsoft.com/fwlink/?linkid=2262093; これらの統計は、2023 年 4 月時点のデータを反映しています。
  17. [17]
    https://go.microsoft.com/fwlink/?linkid=2262359https://go.microsoft.com/fwlink/?linkid=2262520; このような影響工作アクターは、"Spamouflage Dragon" や "DRAGONBRIDGE" と呼ばれることもあります。
  18. [18]
  19. [19]
  20. [20]

    ご覧ください: Microsoft Threat Analysis Center による、影響工作の帰属を決定するためのフレームワーク。 https://go.microsoft.com/fwlink/?linkid=2262095; 中国のディアスポラは、中国政府によって一般的に "華僑" または "華侨 (huaqiao)" と呼ばれ、中国国外に居住する中国国籍または中国の遺産を持つ人々を指します。中国のディアスポラに対する中国政府の解釈の詳細については、次をご覧ください: https://go.microsoft.com/fwlink/?linkid=2262777

  21. [21]
  22. [22]
  23. [23]

    中国政府は、COVID-19 のパンデミックの初期にこのようなシナリオを広めました。ご覧ください:  https://go.microsoft.com/fwlink/?linkid=2262170; この主張を推進するネットワーク内の Web サイトには、次のようなものがあります。 https://go.microsoft.com/fwlink/?linkid=2262438https://go.microsoft.com/fwlink/?linkid=2262259https://go.microsoft.com/fwlink/?linkid=2262439

  24. [24]
  25. [25]
  26. [26]
  27. [27]
  28. [28]

    ウクライナの防衛: サイバー戦争の初期の教訓、 https://go.microsoft.com/fwlink/?linkid=2262441

  29. [29]
  30. [30]

    xuexi qiangguo のもう一つの解釈は、"習を学び、国を強くする "です。この名前は習近平の姓を語呂合わせしたものです。中国の政府、大学、企業はアプリの使用を強く推進しており、使用頻度の低い配下を辱めたり罰したりすることもあります。次をご覧ください:  https://go.microsoft.com/fwlink/?linkid=2262362

  31. [31]

    同紙は Shanghai United Media Group の所有であり、上海共産党委員会の所有でもあります:  https://go.microsoft.com/fwlink/?linkid=2262098

  32. [32]
  33. [33]
  34. [34]
  35. [35]

    中国共産党は以前、SEO 操作技術、偽の "いいね!" やフォロワー、その他のサービスを通じて IO キャンペーンを支援する民間企業に投資していました。調達書類から、このような入札があったことが明らかになりました。次をご覧ください: https://go.microsoft.com/fwlink/?linkid=2262522

サイバー影響工作 東アジアにおける国家支援型攻撃レポート 国家主導型攻撃に関するレポート フィッシング 脅威アクター

関連記事

米国の重要インフラストラクチャを標的にして環境寄生型攻撃を仕掛ける Volt Typhoon

中国から国家支援を受ける脅威アクター "Volt Typhoon" は、ステルス技術によって、米国の重要インフラストラクチャを標的としたスパイ活動を行い、侵害した環境に潜伏していることが確認されました。
詳細情報

デジタル時代のプロパガンダ: サイバー影響工作はいかにして信頼を損なうか

国家主導の攻撃が、民主主義の繁栄に必要である信頼できる情報を脅かすためのプロパガンダを配信するという、サイバー影響工作の世界を調査します。
詳細情報

イランがサイバー対応の影響工作に注力し、その効果を増大中

Microsoft 脅威インテリジェンスは、イラン発で展開されるサイバー対応の影響工作が増加していることを発見しました。新しい手法の詳細や、今後脅威が発生しそうな領域など、脅威に関するさまざまな分析情報をご覧ください。
詳細情報

Microsoft をフォローする