ドッペルゲンガー情報作戦、ヨーロッパと米国を標的に

# 年央のドッペルゲンガー情報操作：欧州と米国における状況  
*HarfangLabウェビナー – 時速300 km のセキュリティ：断片化したエンドポイント戦略はどのように Attack Surface Management を脱線させるのか？*  

2024 年 7 月 25 日公開 • 読了時間：54 分

---

## はじめに

過去 10 年でデジタル偽情報は新たに洗練された形態へと進化しました。なかでも懸念されるのが「ドッペルゲンガー情報操作」です。これは、偽ニュース・サイト、ソーシャルメディア・ボット網、複雑なリダイレクト・チェーンを駆使して世論を操作する国家主導の協調キャンペーンを指します。  
本稿は、HarfangLab と Forrester が共催したウェビナーを基に、背景、技術的詳細、実例、対策、そしてサンプルコードまで網羅的に解説します。

サイバーセキュリティ初心者から熟練の脅威インテリジェンス分析官まで、本稿を読めばドッペルゲンガー作戦の基礎からエンドポイント保護、リダイレクト解析、Attack Surface Management（ASM）の高度な実践までを段階的に理解できます。

---

## 目次

1. [背景と概要](#背景と概要)  
   - [ドッペルゲンガー情報操作とは？](#ドッペルゲンガー情報操作とは)  
   - [歴史的背景と現在のトレンド](#歴史的背景と現在のトレンド)  

2. [（偽）情報チェーンの分解](#偽情報チェーンの分解)  
   - [第 1 レベル・リダイレクタ](#第-1-レベルリダイレクタ)  
   - [第 2 レベル・リダイレクタ](#第-2-レベルリダイレクタ)  

3. [ソーシャルメディアとボット網](#ソーシャルメディアとボット網)  
   - [拡散における X／Twitter の役割](#拡散における-xtwitter-の役割)  
   - [ボット投稿の解剖学](#ボット投稿の解剖学)  

4. [技術詳細：インフラと戦術](#技術詳細インフラと戦術)  
   - [ドメイン・パターンと登録動向](#ドメインパターンと登録動向)  
   - [リダイレクト・チェーン解析](#リダイレクトチェーン解析)  

5. [エンドポイントと ASM への影響](#エンドポイントと-asm-への影響)  
   - [断片化したエンドポイント戦略](#断片化したエンドポイント戦略)  
   - [ASM のツールと手法](#asm-のツールと手法)  

6. [コードサンプルと実践解析](#コードサンプルと実践解析)  
   - [Bash によるスキャン](#bash-によるスキャン)  
   - [Python での出力解析](#python-での出力解析)  

7. [緩和策と推奨事項](#緩和策と推奨事項)  
   - [脅威インテリジェンスのベストプラクティス](#脅威インテリジェンスのベストプラクティス)  
   - [AI と振る舞いエンジンの役割](#ai-と振る舞いエンジンの役割)  

8. [ケーススタディと実例](#ケーススタディと実例)  

9. [まとめ](#まとめ)  

10. [参考文献](#参考文献)

---

## 背景と概要

### ドッペルゲンガー情報操作とは？

ドッペルゲンガー作戦とは、ロシア系アクターに帰属される世論操作活動を指し、正規ニュースサイトを装う「双子」のような偽装を行います。主な手口は以下のとおりです。

- **偽・改ざんサイト**：有名ニュースドメインのなりすまし  
- **ソーシャルネットワーク**：X／Twitter 等での拡散  
- **リダイレクト・チェーン**：多段階リダイレクトで発信源を秘匿  
- **ボット網**：自動化アカウントによる増幅  

多面的な手法によりインフラを隠蔽し、検知と対抗を困難にしています。

### 歴史的背景と現在のトレンド

初期の情報操作は選挙期間中に流れる単純な「フェイクニュース」でした。しかしデジタル基盤とエンドポイント技術の進化に伴い、以下のトレンドが見られます。

- **AI の統合**：生成 AI による偽記事や音楽動画、ボット自動化  
- **高度なリダイレクト**：リアルタイム検知を逃れる多層チェーン  
- **インフラ回転**：ドメイン／IP／TLD を高速で変更しブラックリストを回避  
- **断片化したエンドポイント**：企業が異種製品を混用し ASM に隙が生じる  

2024 年 6 月のフランス突如の総選挙では「Mid-year Doppelgänger」作戦が注目を集め、包括的インテリジェンスとエンドポイント管理の重要性を浮き彫りにしました。

---

## （偽）情報チェーンの分解

ドッペルゲンガー・キャンペーンは複雑なリダイレクト・チェーンで活動を隠蔽します。

### 第 1 レベル・リダイレクタ

第 1 段階の URL は以下を目的とします。

- 一般ユーザには無害に見える  
- ソーシャルメディアでリンクプレビューを生成  
- 即座に別 URL へ転送  

**解析例：**

```html
<!DOCTYPE html>
<html>
  <head>
    <title>Citizenship Doesn't Matter If You Support Biden</title>
    <meta http-equiv="Content-Type" content="text/html; charset=utf-8">
    <meta name="twitter:card" content="summary_large_image">
    <!-- 省略 -->
    <meta http-equiv='refresh' content='0; url=http://vickypitner.com/wash9261378'>
  </head>
  <body>
    <script type="text/javascript">
      /* 省略：難読化された JS */
    </script>
    <div>
      пример текста на кириллице – 無関係なキリル文字プレースホルダ
    </div>
  </body>
</html>

ポイント：

メタデータ操作：ソーシャルプレビュー用に最適化
即時転送：第 2 レベルへリダイレクト
難読化 JS と プレースホルダ文 による煙幕

第 2 レベル・リダイレクタ

第 2 段階も転送専門ページで、最終着地先をさらに秘匿します。

<html lang="en">
  <head>
    <meta charset="UTF-8" />
    <meta name="robots" content="noindex, nofollow">
    <title>Redirecting...</title>
  </head>
  <body>
    <noscript>Please enable JavaScript…</noscript>
    <script>
      window.location.href = "http://finalcontent.example.com";
    </script>
  </body>
</html>

noindex, nofollow で検索エンジンを排除
内容ゼロ、転送のみの設計

ソーシャルメディアとボット網

特に X／Twitter は拡散の要です。約 800 のボットアカウントが第 1 レベル URL を共有していました。

拡散における X/Twitter の役割

偽情報の増幅：自動投稿でユーザをリダイレクト・チェーンへ誘導
人工的エンゲージメント：いいね・リツイートを水増ししアルゴリズムを欺く

ボット投稿の解剖学

AI 生成らしき独自文：コピペ回避
多言語：英・仏・独・波・ウクライナ語
不釣り合いな反応数：フォロワー数に見合わないエンゲージ
過去の痕跡：暗号詐欺に関与歴のあるアカウントも

実例：あるボットはロシアのバンド Little Big を装った AI 音楽動画を投稿し、パリ五輪を皮肉りつつ参加を控えるよう誘導した。

技術詳細：インフラと戦術

ドメイン・パターンと登録動向

ランダムサブドメイン + 新興 TLD（.click, .top, .shop など）
- http(s)://<5～6文字>.<domain>/<6文字>
- http(s)://<短いドメイン>/<6文字>

ホスティング例（IP / ASN）

168.100.9.238 – ASN 399629, BLNWX
77.105.135.48 – ASN 216309, EVILEMPIRE-AS
185.172.128.161 – ASN 216309, EVILEMPIRE-AS

共通点：

ポート 22 で OpenSSH、80/443 で OpenResty + PHP 7
自己署名証明書

リダイレクト・チェーン解析

クリック：SNS 上の無害リンク
第 1 転送：メタリフレッシュですぐ次へ
第 2 転送：異なるインフラ上で最終ページへ

HTTP メタタグ、難読 JS、即時転送は自動／手動解析を攪乱する古典的手口です。

エンドポイントと ASM への影響

断片化したエンドポイント戦略

複数ベンダ製品の混在により:

被覆の不均一：保護の強弱にムラ
インシデント対応遅延
ASM の複雑化：シャドー IT や脆弱端末の把握困難

HarfangLab 調査では、この隙を突いてドッペルゲンガーが偽情報注入やペイロード展開を実現していると指摘します。

ASM のツールと手法

脆弱性評価
シャドー IT 検出
EPP／EDR 統合
YARA・Sigma 等の挙動／シグネチャ検出
AI／機械学習による異常検知

コードサンプルと実践解析

Bash によるスキャン

#!/bin/bash
# 第1レベル・リダイレクタのリスト
redirectors=("http://a1b2c3.top/xyz123" "http://d4e5f6.click/abc789")

scan_url () {
    local url=$1
    echo "スキャン中: $url"
    curl -sIL "$url" | grep -i "Location:"
    echo "-------------------------"
}

for url in "${redirectors[@]}"; do
    scan_url "$url"
done

Python での出力解析

import re

def parse_redirection(file_path):
    redirections = {}
    with open(file_path, 'r') as f:
        data = f.read()
        for url in re.findall(r'Location:\s*(\S+)', data, re.I):
            domain = re.findall(r'://([^/]+)/?', url)
            if domain:
                redirections.setdefault(domain[0], []).append(url)
    return redirections

if __name__ == '__main__':
    redirects = parse_redirection('http_headers.txt')
    for d, urls in redirects.items():
        print(f"Domain: {d}")
        for u in urls:
            print(f"  -> {u}")