NATO戦略的コミュニケーション卓越センター(NATO StratCom COE、ラトビア・リガ拠点)とウクライナ戦略コミュニケーションセンター(CSC)は2026年1月、共同報告書 Attributing Russian Information Influence Operations: Testing the Information Influence Attribution Framework with real-world case studies を発表した。著者はVictoria Smith、James Pamment(スウェーデン・ルンド大学心理防衛研究所)、Sofiia Dikhtiarenkoら6名。報告書の目的は、情報影響帰属フレームワーク(IIAF)をウクライナ関連のロシア実地キャンペーンに適用し、EUの対FIMI規制強化(デジタルサービス法の2024年2月施行、2025年3月のFIMI Exposure Matrix導入)によって証拠基準が引き上げられている現状の中で、フレームワークの実践的妥当性と限界を検証することにある。情報影響作戦(IIO)の帰属が「ロウフェア」として法廷や規制手続きで争われる事態が増加していることを背景に、本報告は公開帰属が耐えうる証拠閾値の整理と標準的言語の確立を試みる。
IIAFの構造:3軸+法的評価
IIAFはNATO StratCom COEとHybrid COEが2022年に定式化したフレームワークを基礎とし、ADAC.ioプロジェクト(ルンド大学)が2025年に改訂した版をもとに本報告書で運用される。証拠は以下の3カテゴリーに分類される。
技術的証拠はIPアドレス・ドメイン登録データ・SSLメタデータ・ホスティング構成など、悪意ある活動が残すデジタル痕跡を指す。行動的証拠は戦術・技術・手順(TTPs)として観察される操作パターン、すなわちクロスポスティング・協調的非正規行動(CIB)・なりすまし等を対象とする。文脈的証拠はナラティブの内容・タイミング・地政学的背景・ターゲット設定を扱う。これら3軸に加え、法的・倫理的評価が帰属判断の比例性・データ保護・情報源保護の観点から全プロセスに横断する。
各証拠カテゴリーは、オープンソース(WHOIS・公開API・OSINT)、プロプライエタリ(プラットフォームバックエンドデータ・民間インテリジェンス)、機密(SIGINT・HUMINT)という3種のデータ源から収集できる。帰属の精度は「X国を拠点とするアクター」から「X国のためにY組織に所属するZ個人」まで4段階に区分され、公開帰属においてはオープンソースとプロプライエタリが主要な根拠源となる。
技術的証拠①:デジタルインフラ分析
デジタルインフラ分析の出発点はWHOISルックアップによるドメイン登録メタデータの取得であり、本報告はfondfbr.ruを例示する。このドメインはウクライナの子供を対象とする偽のスペイン強制移送ナラティブの発信元として特定されたもので、エフゲニー・プリゴジンが設立した「弾圧との戦いのための財団」(Фонд борьбы с репрессиями)に公開情報上で関連づけられている。
WHOISデータから読み取れる指標は複数ある。登録業者がREG.RUであることは注目に値する。REG.RUはロシア国内登録のため欧米のテイクダウン機構が適用されにくく、クレムリン関連メディアキャンペーンで繰り返し使用が確認されているレジストラである。登録者情報が「Private Person」と記載されていることは、NGOが通常は組織名で登録する慣行から逸脱しており、所有者の隠蔽意図を示唆しうる。IPアドレス31.31.196.192には1,700以上のサイトが同居するマスホスティングインフラであり、大規模オペレーションでの使用パターンと一致する。SSL証明書については、crt.shのCertificate Transparencyログを照合した結果、Let’s Encryptによる90日ごとの自動更新が確認された。Let’s Encryptは身元確認を行わない無料の認証局であり、商業CAが要求するアイデンティティ開示を回避できることから、匿名性選好の指標となる。
これらの単一指標はいずれも単独では偶然の一致と解釈できるが、REG.RU利用・マスホスティング・Let’s Encrypt採用の組み合わせ、およびプリゴジン系組織との既知の関連性を重ねると、協調的IIOの構造的基盤としての信頼性が増す。
RTとSputnikのEU制裁回避インフラ追跡は、このアプローチの規模適用例として報告書が引用する。英国Institute for Strategic Dialogue(ISD)は2022年のEU制裁発効後、RTの公式SNSアカウントが宣伝する新規URLを起点に調査を開始した。actualidad-rt.comなどスペイン語圏向けの迂回サイトがWHOIS上で制裁直後に登録されていることを確認し、ns1.rttv.ruなど既知のRTネームサーバーへのDNS参照、および複数ドメインにまたがる同一のGoogle Analytics追跡ID(UA コード)を検出した。各ドメインには2つ以上の技術指標が一致することを条件として偽陽性を排除し、Maltegoでインフラ接続を可視化した。SimilarWebによるトラフィック統計では、迂回サイトへのアクセスの85%以上がEU加盟国から発信されており、制裁回避が実効的に機能していることが確認された。
技術的証拠②:プラットフォーム・ネットワーク分析
プラットフォームデータ分析はTGStat(Telegramチャンネルの公開データ収集Webツール)を主要ツールとして用いる。本報告が最初に取り上げるのは、親クレムリン系コメンテーター Yuriy Podolyakaが運営するTelegramチャンネル @yurasumy(「Мир сегодня с Юрий Подоляка」)であり、登録者数は310万人を超える。
最も注目すべき指標はリーチ別エンゲージメント率(ERR)の55%という数値である。ERRはリーチに対するいいね・コメント・シェアの比率を測るもので、チャンネル規模が大きくなるにつれて通常は低下する傾向があり、50%超は異常値とみなされる。この数値は人工的なビュー水増し(ボットまたは購入ビュー)、非有機的増幅、あるいは例外的に忠実なオーディエンスのいずれかを示唆する。TGStatの転送・メンション グラフから構築された増幅ネットワークは、@yurasumy とResident・Oleg Tsaryov・Ostashko! Importantといった他の親クレムリンチャンネルとの構造的な相互転送関係を示した。投稿頻度と周期の分析では、長期にわたる高頻度の規則的スケジュールが確認されており、チーム管理または半自動スケジューリングを示唆する。さらに同チャンネルはロシアのメディア監督機関Roskomnadzor(RKN)の公認メディアリストに登録されていることが確認された。この登録はロシアのメディア法上の保護を与えるとともに、国家の広報目標との公式整合を示す。
次のケースは汚職ナラティブを扱う情報影響作戦の分析である。Osavulプラットフォームによるメッセージタイムスタンプのベースライン分析から、50インシデントのサブセットにおいて複数のTelegramチャンネルが同一の汚職関連コンテンツを1〜3分以内に転載していることが確認された。この狭いリポスト間隔は自動化または事前スケジュールによるコンテンツ配信の強力な指標である。ネットワークマッピングで多くの投稿の起点を追跡するとTelegramチャンネル「Politika Strany」が中央ノードとして特定され、そこから地方ウクライナメディアに偽装したチャンネル群が転送する構造が明らかになった。さらに、高知名度のウクライナメディアページ(TSN・Hromadske)の投稿へのコメント欄では、11アカウントが19件のコメントを同一または酷似したテキストで投稿し、ゼレンスキー大統領と米国が軍事支援から利益を得ているという主張を展開していた。これらのコメントはTelegramチャンネル「Digital Army of Russia」が配布した多言語コメントテンプレートと一致することが確認された。「Digital Army of Russia」は定期的に多言語のコメントテンプレートと拡散指示を配布するロシア系チャンネルである。
行動的証拠①:クロスポスティングとソースロンダリング
行動的分析の第一の事例は2023年4月25日に展開されたジョージア・ウクライナ兵士衝突虚報である。この偽ニュースは少なくとも17の親クレムリン系メディアを通じて拡散された。具体的にはTass.ru・Ria Novosti・Lenta.ru・Rossiyskaya Gazetaが含まれ、ジョージア語ソースGeworld.geも含まれた。一部の媒体はTassを出典とし、他はRia Novostiを引用したが、Ria自身はプロパガンダストとして知られるAndrey MarochkoのTelegramチャンネルを情報源として記載した。
投稿時系列を図示した結果、決定的な異常が浮かび上がった。Tass.ruがMarochkoのTelegramへの投稿より先に当該ニュースを公開していたのである。この時系列矛盾は中央集権的な事前調整を示唆し、「独自のTelegram情報源」という主張の信頼性を根本から損なう。Lenta.ru・Rambler.ru・Kamchatskoe Vremyaの3媒体は完全に同一のテキストと画像を同時刻に掲載しており、集中型公開ソフトウェアによる配信自動化を強く示唆する。さらに複数の媒体が元のTelegram出典を「TASS」という「より正統な」引用元に置き換えており、これはソースロンダリングの典型的な手口として分類される。これら行動的指標の組み合わせは、有機的拡散ではなく協調的非正規行動(CIB)のプロファイルを構成する。
行動的証拠②:DISARMフレームワーク適用
DISARMフレームワークは約391の具体的な行動を分類する構造化されたTTP分類体系であり、キャンペーンの「指紋」を標準化された言語で記述することで、異なるアクターや時期にまたがるパターン比較を可能にする。本報告はロシアの全面侵攻初期段階(2022年5月)に展開されたポーランドのウクライナ西部併合ナラティブへの適用を示す。
キャンペーンの起点はTelegramチャンネル「Signal」が流布した偽造ビルボード画像である。ワルシャワの地下鉄駅で撮影されたとされる画像には、ポーランド軍総司令官Jarosław Mika将軍の写真とともに「先祖代々のポーランドの土地を守れ。レオパルド戦車の操縦士になれ。ウクライナでポーランドを守れ」という文句が記されていた(DISARM T0086.003: Deceptively Edit Images)。同チャンネルはポーランドの公共交通機関からウクライナ国旗が撤去された事実と、セルゲイ・ナルイシキン対外情報局長官による米国とポーランドのウクライナ分割陰謀発言(これ自体は実際に発言されたもの)を組み合わせ、ポーランドの侵攻主張の補強材料として用いた(T0081.004: Identify Existing Fissures)。
5月3日、Rokot|RykチャンネルはアンジェイDuda大統領のスピーチの短いクリップを投稿した。Duda大統領の発言はウクライナとポーランドの新たな協力関係とロシアの帝国主義反対の文脈で語られたものだったが、クリップを文脈から切り取ることでウクライナのポーランド領土への「組み込み」を示唆するように提示された(T0087.002: Deceptively Edit Video; T0023.001: Reframe Context)。5月4日にはBBCのロゴを模したフェイク動画がオンラインに登場し、ポーランド軍総司令官がウクライナへの「侵攻準備」を命じたと虚偽の字幕をつけた(T0097.202: News Outlet Persona; T0143.003: Impersonated Persona; T0100: Co-Opt Trusted Sources)。動画はロシア語・フランス語・イタリア語・トルコ語・チェコ語で拡散された(T0101: Create Localised Content)。
このようにDISARMタグを用いて分析すると、偽造画像の作成・文脈の再フレーミング・フィルターバブルの活用・メディアなりすまし・多言語ローカライズという複数の独立したTTPが同一ナラティブに体系的に組み合わされていることが可視化される。
文脈的証拠①:ナラティブとその洗浄
文脈的証拠の分析は、まず大量のメッセージデータからナラティブパターンを抽出することから始まる。CSCとOsavulはウクライナのオンライン空間で2023年7月〜12月に収集した汚職関連メッセージ130,000件超を分析し、X(旧Twitter)・Telegram・Facebook・YouTube・オンラインメディアを対象に、ウクライナ語・ロシア語両方の投稿を収録した。最低6件のメッセージが共通テーマ周辺に集積した「インシデント」を単位として集計し、86件を協調的影響作戦の構成要素として特定した。ソース分析では418アカウントが過去に情報作戦との関連が記録されており、462アカウントがロシアに直接関連し、223アカウントがボットとして識別された。
このデータセットから抽出された7つの反復的な親クレムリン汚職ナラティブは次のとおりである。「ゼレンスキーは腐敗を隠蔽している/ゼレンスキー自身が腐敗している」「ウクライナは完全な腐敗国家だ」「腐敗によってウクライナは戦争に負け西側を失望させる」「ウクライナは腐敗スキームを通じて西側エリートと結びついている」「腐敗を理由にした政権転覆の呼びかけ」「エリートは利益を得、一般兵士は苦しむ」「ウクライナは西側の武器を転売している」。これらは偽ニュース・陰謀論・合法的報告書の歪曲・TelegramとFacebookを横断する同一投稿の協調拡散によって増幅された。
ナラティブ洗浄の構造を示す具体例として、報告書はオレナ・ゼレンスカ第一夫人のカルティエ110万ドル購買疑惑を取り上げる。2023年9月末、元カルティエインターン従業員を名乗る女性が自身のInstagramに動画を投稿し、ゼレンスカが110万ドルの購買を行い自分が解雇されたと証言した(Placement:捏造素材の植付け)。この動画は過去に活動実績のないYouTubeアカウントが転載し、ロシア系・ウクライナ系メディアを模倣したチャンネルに急速に拡散された(Layering:多様な媒体による反復)。その後、ロシア系メディアがこの話を「ウクライナエリートの腐敗の証拠」として引用する形で統合された(Integration:主流チャンネルへの取り込み)。イタリアのファクトチェックサイトOpenの調査で、動画の女性がカルティエとは無縁のサンクトペテルブルク出身の学生であることが判明したにもかかわらず、この話は親ロシア系チャンネルで繰り返し引用され続けた。ナラティブ洗浄とは、もともとはKGBのOperation INFEKTION(1980年代)で実証されたソ連時代の偽情報拡散戦略であるが、生成AIと安価なデジタル出版ツールの登場によってその規模と速度が飛躍的に拡大している。
文脈的証拠②:時系列とターゲティング分析
文脈的分析は「何が語られているか」に留まらず、「いつ・どのように・誰に向けて語られているか」を問うことで帰属の精度を高める。
汚職ナラティブキャンペーンについて言えば、上述の86インシデントは地政学的に重要な局面に集中して発生した。2023年12月のゼレンスキー大統領の訪米後、汚職関連メッセージの量と頻度が急増し、米国上院が透明性を要求したがゼレンスキーが応じなかったという虚偽の主張が流布された。このパターンは「西側支援が腐敗した指導層に流用されている」というクレムリンの長年の定型ナラティブを再活性化させたものであり、西側供与国の疲弊感を煽る意図と整合する。
TikTokを用いた反動員キャンペーンについては、反動員ハッシュタグ(#ТЦК・#stopTRC)のスパイクが、ゼレンスキーの憲法的任期失効(2024年5月)や動員担当官と市民の対立映像がバイラルした時期と密接に連動していたことが確認された。ウクライナでは18〜55歳層においてTikTokが他のメディアを凌ぐ速度で普及しており(OPORA 2024年7月調査)、キャンペーンはAI生成ニュースクリップ・演出された対立映像・インフルエンサー形式のモノローグ・プラットフォーム特有のユーモアという手法でプラットフォームのユーザー層に最適化されたコンテンツ形式を採用していた。こうした時系列・フォーマット・ターゲット設定の同期は、ナラティブ内容の分析のみからは見えてこない運用上の意図と帰属根拠を提供する。
信頼区間とHealeyのスペクトラム
帰属評価は確率の言語で表現される。英国政府の確率ヤードスティックはパーセンテージと記述語を対応させ(例:25〜35%=「unlikely」、80〜90%=「highly likely」)、STIX信頼オブジェクト(OASIS Open)はAdmiralty Credibility Scale・Words of Estimative Probability・DNI Scaleなど複数のスケールを1〜100の数値範囲で相互変換可能に提供する。本報告書が採用するADAC.io フレームワークとMicrosoft DTACはlow/medium/highの3段階構造を取り、スケール間の誤解を防ぐために各グレードの明示的定義を求める。単一データセット内で信頼度が異なることも多く、例えば政府公式SNSアカウントの帰属はhigh、関連する匿名増幅アカウントはmediumといった形で信頼度の範囲として報告される。
国家責任のスペクトラムとしては、Healeyの10段階モデルをIIO帰属に転用する試みが本報告の理論的貢献の一つである。サイバー攻撃への適用として設計された同モデルは、state-prohibited(第三者攻撃を阻止しようとする国家)からstate-integrated(政府が直接統制する作戦)までを連続的に分類する。IIOへの適用においては重要な差異がある。サイバー攻撃には国際規範が比較的整備されているのに対し、情報影響作戦にはより少ない国際規範しか存在せず、自由な言論と国家主導の干渉の境界が曖昧である。state-encouraged段階の帰属には政府高官がナラティブを追認・反復しているという行動的証拠と政策目標との文脈的整合が必要となり、state-coordinated段階では情報共有・調達契約・技術支援の存在を示すプロプライエタリ証拠が求められる。各段階への帰属に必要な証拠要件は報告書中の18行×10列マトリクスとして整理されており、実務者がチェックリスト的に使用できる形式で提示されている。
統合帰属評価:汚職ナラティブキャンペーン
技術・行動・文脈の3種の証拠を収束させ、Healeyのスペクトラムと信頼区間スケールを適用した統合帰属評価の結論として、本報告は汚職ナラティブキャンペーンを「ロシア連邦によるstate-shaped〜state-coordinated(高信頼度≥80%)」と評価した。
技術的側面では、相互連結されたTelegramチャンネルとボットネットが数分以内に協調コンテンツを投稿するパターンが確認された。Osavulプラットフォームは462のロシア関連ソースと223のボットが汚職ナラティブを繰り返し拡散していることを特定した(信頼度:moderate–high)。行動的側面では、協調投稿・「Digital Army of Russia」による指示・偽ウクライナメディアペルソナの使用・ZLOY EnotおよびIolka UAと関連するクラスター経由の転送という組み合わせが、単発的な自律行為とは矛盾する集中的な調整の証拠を構成した(信頼度:high)。文脈的側面では、ナラティブがロシア国家メディアのメッセージと密接に一致し、地政学的に重要な時点に活動が集中し、政府系メディアが増幅していることが確認された(信頼度:high)。
残存するギャップとして、支払い記録や内部調達文書などプロプライエタリな技術データが入手できていない点が明示されている。ただしこの欠如は、複数の独立した証拠クラスの収束という圧倒的な行動的・文脈的証拠によって補われ、high信頼度評価を損なわないと報告書は論じる。当該操作の特性はロシア政府が認知していないことを示す兆候がなく、また是正措置も見られず、ロシアの国家目標と公式チャンネルを通じた推進という一貫したパターンはローグ(不正規)官僚による独自作戦の可能性とも矛盾する。
結論と実践的含意
本報告が導く三つの主要な結論は明確である。第一に、IIO帰属はサイバー帰属とは異なる。サイバーフォレンジクスがマルウェア署名や機密ログへの管理されたアクセスに依存するのに対し、IIO帰属は可変品質のオープンソースデータに大きく依存する。第二に、単一の証拠ラインは不十分であり、堅固な帰属には少なくとも2つの証拠カテゴリーからの独立した指標、証拠ギャップの明示的な文書化、確率的言語による信頼度範囲の明示が必要である。第三に、DISARMのような標準化フレームワークの採用が、政府・プラットフォーム・市民社会にまたがる一貫した帰属を実現するために不可欠である。
実践的勧告として報告書は以下を挙げる。透明性と標準化においては、すべての主要主張に信頼度範囲・証拠カテゴリーの根拠・ギャップへの言及を付記した定型報告フォーマットの採用を求める。プロプライエタリ・機密データへのアクセスについては、審査済み研究者がプラットフォームテレメトリ・広告技術データ・法執行データを照会できる段階的アクセスモデル(信頼できる研究環境・データセーフヘイブン)の整備を提言する。先行的分析については、汚職・動員・領土的完全性といった敏感なテーマの継続的なベースラインモニタリングと、異常スパイク・クロスプラットフォーム同期・急速なナラティブロンダリングを早期警告シグナルとしてフラグ立てする仕組みの制度化を提案する。IIAFの証拠評価プロセスとDISARMのTTPタグ付けをオープンソースワークフローに組み込む自動化ツールの整備、ならびに調査方法論の手順的透明性の公開も勧告に含まれる。
帰属は技術的行為であると同時に政治的行為でもある。証拠が十分でも帰属しない政治的判断が下されることも、証拠基盤が弱くても帰属が追求されることもある。本報告はその現実を認めつつ、証拠基盤の強化・言語の精緻化・方法論の改善によって帰属の信頼性・実行可能性・法的耐久性を高めることが、DSAや対FIMI措置の規制環境下でますます重要になると結論づける。
コメント