中国共産党(CPC)支持のメッセージを拡散するために、NYTimes・Guardian・Wall Street Journalなどの国際有力メディアに見せかけた偽装ドメイン群が組織的に運用されていた。こうした偽装サイト群を運営していたのは国家機関ではなく、中国のデジタルマーケティング・PR産業の企業30社と個人3名からなる商業エコシステムだったとGraphikaは記録した。2026年1月に公開された本報告書「Glass Onion」は、43のドメインと37のサブドメインから構成されるこのネットワークを技術的に解剖するとともに、Googleが過去に特定したHaiEnergyキャンペーンとの技術的連鎖を、2022年9月21日10時45分(UTC)という分単位の同時登録という証拠で実証した。
発行元Graphikaとレポート名「Glass Onion」の意味
Graphikaはニューヨーク拠点のOSINT(公開情報情報)専門分析企業であり、ソーシャルメディアのネットワーク構造分析を中核技術として政府・プラットフォーム企業・民間組織に脅威インテリジェンスを提供している。同社はSpamouflage(別名Taizi Flood、DRAGONBRIDGE)など中国系影響作戦の追跡分析でとりわけ実績が高く、過去にもMeta・Twitterのプラットフォームと協調してアカウント削除に至った調査を複数公開している。
本報告書のタイトル「Glass Onion(透明な玉ねぎ)」は、この調査対象の構造的比喩として選ばれている。剥いても剥いても層が続く玉ねぎの形状は、企業・個人・ドメイン・サブドメイン・コンテンツホスティングサーバーと入れ子状に続く多層構造を指す。「Glass」は、その層が透明で外から見透かせるという意味を重ね、実際に調査が示したとおり、ソースコード・証明書・IPアドレス・登録データという公開可能な技術指標を丁寧に追うことで構造全体が可視化できることを示している。
調査の発端は、Graphikaがスパムアウフラージュ(Spamouflage)の監視活動中に、41のXアカウントが繰り返し同一ドメインのリンクを投稿していることを観察したことだった。リンク先はalpeninsulatv[.]topとweeklytimesnet[.]comという、一見独立した報道サイトに見える2つのドメインであり、掲載記事はいずれも米国の精神修練団体・法輪功とその関連舞踊団Shen Yunを批判する内容だった。この小さな観察から、Graphikaは技術的指標を手がかりに連鎖的にドメイン群を特定し、背後の商業エコシステム全体を浮かび上がらせていった。
発見の起点:法輪功批判記事とドメイン偽装の解剖
発端となったalpeninsulatv[.]topというドメイン名は、パロットのように無意味に見えるが、URLの構造はカタール英字紙The Peninsulaを想起させる設計になっている。weeklytimesnet[.]comはイギリスの週刊紙を模した命名だ。だが両ドメインに掲載されていたのは、「速報:法輪功のShen Yun舞踊団が米国政府の捜査対象に」という記事であり、法輪功に対する継続的な法的訴追と李洪志(Li Hongzhi、法輪功の創設者)による「長期的な精神支配と未成年への身体的虐待」を取り上げる内容だった。
Graphikaが両ドメインの正体を見抜く過程で用いた技術的手法は以下のとおりだった。まず両ドメインが同一のIPアドレス47.254.83.83とASN 45102(アリババの米国子会社に割り当てられた番号)を共有していることをDomainToolsのデータで確認した。次にソースコードを検査し、記事に使われる画像がドメイン自身にホストされているのではなく、中国のマーケティング企業が運営する外部サーバーから動的に引き込まれていることを特定した。さらにCMSの検出ツールを用いて、WordPressやJoomlaなどの既存CMSとは異なるが、全ドメインが同一のディレクトリ構造・静的HTML事前レンダリング方式・ハッシュ化されたアセットファイル名(例:main.90ab6570e0b8548a3bb3.js)という共通のテンプレートを使っていることを確認した。
加えて同レポートは、uswiredmagazine[.]comのソースコードが米国雑誌Wiredのウェブサイトのデザイン要素を直接コピーしていること、losangelestimesnet[.]comがLos Angeles Timesのブランドを模倣していることなど、個別ドメインが標的とするメディアの視覚的権威を借用するために相当の作業を行っていたことも記録している。
43ドメイン+37サブドメイン:3セットの全体像
Graphikaが最終的に特定したドメインネットワークは、偽装対象によって3つのセットに分類される。
| セット | 偽装対象 | ドメイン数 | サブドメイン数 | 代表例 |
|---|---|---|---|---|
| Set 1 | 英語国際メディア | 12 | 12 | ukguardiannet[.]com(Guardian偽装)/losangelestimesnet[.]com(LAT偽装)/wallstreet-daily[.]com(WSJ偽装)/uswiredmagazine[.]com(Wired偽装) |
| Set 2 | 中国語国家メディア | 11 | 25 | cctvyangshiguojixinwennet.com[.]cn(CCTV偽装)/peopleshnet.com[.]cn(人民日報偽装)/ifengvideo[.]cn(鳳凰TV偽装)/lianheguoribao[.]cn(国連偽装) |
| Set 3 | 国別一般ニュース | 9+90以上 | 複数 | kenyainews[.]com(ケニア向け偽装)/canannews[.]com(カナダ向け偽装)/bbcnewsdaily[.]com(BBC偽装) |
Set 1の特徴として注目されるのは登録時期の集中性だ。12ドメインのうち10件が2020年12月15〜16日という2日間に集中して登録されており、残りの2件(alpeninsulatv[.]topとnewsheadlinesnet[.]com)が2022年9月21日に登録されている。全ドメインが北京または河南省を登録所在地として記録し、IPアドレス47.254.83.83とASN 45102を共有していた(データは2025年11月17日時点)。
Set 2は中国語圏の読者を一次ターゲットとしており、国連の公式サイトに見せかけたlianheguoribao[.]cn(「聯合国日報」=国連日報の意)のような事例が含まれる。Set 3の9ドメインはTencent傘下のASN 132203上に展開されており、2022年6月27〜28日に一括登録されている点で内部的な一体性を示す。さらにSet 3に接続された90以上の追加ドメイン(Appendix 1に全リスト)には、bbcnewsdaily[.]com・hollywoodinews[.]com・globalcarinfo[.]comなどが含まれ、偽装メディアのロングテールが確認できる。
HaiEnergyとの技術的連関:2022年9月21日10:45 UTCの同時登録
本報告書が既存の研究体系に対して付加した最も鮮明な貢献は、過去にGoogleが特定したHaiEnergyキャンペーンとの技術的連鎖の実証だ。
DomainToolsの登録データによれば、alpeninsulatv[.]topとnewsheadlinesnet[.]comの2つのSet 1ドメインは2022年9月21日10時45分(UTC)に初めて観測された。そして同一時刻——秒単位で一致——に、Haixun系HaiEnergyキャンペーンのドメインである24usnews[.]comも登録されていた。さらにその直後の1時間以内に、Haimaiに連鎖する10のドメインも登録されている。
この時刻の一致に加え、杭州即家科技有限公司(Hangzhou Jijia Technology Co., Ltd.)というPR企業が、Haimai運営サイトnews.shiworld[.]cnとHaixunが運営するweb.ebuypress[.]comの両方でパッケージを宣伝・掲載していたことも確認されており、企業活動の重複という行動面の連関も記録された。
Graphikaはこの発見を、HaiEnergy・Paperwall・DuringBridge・BayBridgeという先行キャンペーンとのTTP比較の文脈に置いている。各キャンペーンに共通する手法は以下のように整理される。
| TTP | HaiEnergy | Paperwall | DuringBridge | BayBridge | Glass Onion |
|---|---|---|---|---|---|
| CPC反体制派批判コンテンツ | ○ | — | — | — | ○ |
| ローカルメディア偽装 | ○ | ○ | — | — | ○ |
| 外部コンテンツホスティング利用 | ○ | ○ | ○ | ○ | ○ |
| 複数子会社による分散構造 | — | — | ○ | ○ | ○ |
| 暗号通貨・商業広告との混在 | ○ | — | — | — | ○ |
GoogleのThreat Intelligence GroupはHaixun・Haimai・Paperwall・DuringBridgeを「Glassbridge」という傘名称で4社体制として整理していた。Graphikaの今回の調査はそこに30社3個人という大幅に拡大した関与主体を加え、このエコシステムの実際の規模が既存の帰属フレームを超えていることを示した。フランスのIRSEM(Institut de Recherche Stratégique de l’École Militaire、軍事学校戦略研究所)も2025年10月の報告書において、数百の多言語偽装ニュースサイトを運営する中国デジタルマーケティング・PR企業の拡散エコシステムを独立して記録しており、Graphikaの分析と構造的に一致する。
30社3個人のエコシステム:3層構造の解剖
Graphikaが記録したこのエコシステムは、機能的に3層に分かれる。
第一層:偽装ドメイン群は読者・クライアント・中国国内向けSNS投稿の対象となる外殻である。ukguardiannet[.]comはGuardianのブランドを視覚的に模倣し、losangelestimesnet[.]comはLATimesのデザイン要素をソースコードレベルでコピーしていた。これらのドメインは本物のコンテンツをほとんど持たず、外部ソースから引き込まれた画像・記事を表示する静的なフレームとして機能する。
第二層:コンテンツホスティング企業群は記事・画像データを実際に保管する中間インフラである。Graphikaは23社の中国企業と3個人をこの層に特定した。例えばShenzhen Kuyue Marketing Planning Co., Ltd.(深圳酷悦营销策划有限公司)はlovemeit[.]comを通じてalpeninsulatv[.]topへのコンテンツ配信を行っており、Wenzhou Bilin Media Co., Ltd.(温州比邻传媒有限公司)はpic.cnmtpt[.]comを通じて複数のSet 3ドメインに画像を供給していた。特筆すべきはShenzhen Tencent Computer Systems Co., Ltd.(深圳市腾讯计算机系统有限公司)の名前が登場する点で、losangelestimesnet[.]comのソースコードにTencent News「ExEditor」の画像カードがinews.gtimg[.]comのCDNから直接埋め込まれていた。また、uswiredmagazine[.]comのソースコードには江苏新华报业传媒集团有限公司(Jiangsu Xinhua Newspaper Media Group)が運営するjcdn.xhby[.]netへの参照があり、江蘇省共産党機関紙系の地方ニュースアプリ「Meeting Point News」のコンテンツが直接再利用・シンジケートされていた可能性をGraphikaは指摘している。
第三層:マーケティング・PR企業群はクライアントから依頼を受け、偽装ドメインへの掲載という実際のサービスを販売・実施する層である。Graphikaはこの層に属する5社を特定した——Blue Eagle Times Media Culture(北京)有限公司(蓝鹰时代传媒文化)・Guangzhou Vision Network Technology Co., Ltd.(广州视觉网络科技)・Dongguan Dongcheng Feifei Network Technology(东莞市东城飞飞网络科技)・Shenzhen Lanxi Culture Media Co., Ltd.(深圳蓝夕文化传媒)・Jining Xinbaoli Advertising Media Co., Ltd.(济宁新葆力广告传媒)がそれにあたる。
これらPR企業の代表者が、単なる広告業者の枠を超えた属性を持つことをGraphikaは記録している。Xu Xiaoyi(徐暁芸)はBlue Eagle Times Media Culture(北京)有限公司の創設者兼管理者だが、Baidu上での彼女の公的プロフィールは「中国百家媒体連盟社社長、中外通信社編集長、国際中文記者連合会会員、中国管理科学学院経済発展研究センター客員教授、中国商業文化研究会人工知能委員会主任委員」と記述されている。さらにSohuの記事では「在中国マダガスカル大使館との共催イベントで中国企業の海外展開の円滑化に中心的役割を果たした」と紹介されていた。Guo Weihua(郭偉華)はGuangzhou Vision Network Technology Co., Ltd.の法定代表人だが、広州の地元メディア3紙が彼を「中国対外貿易センター(中国進出口商品交易会)弁公室副局長」として引用しており、「海外メディアを積極的に活用してリーチを拡大する計画を推進している」と発言している。
この層の企業群は自社ウェブサイト上で「人民日報やXinhuaを含む主要メディア媒体へのアクセス」を謳い、AFPやReutersなどのロゴを並べた戦略的パートナーシップの虚偽表示をしていた。実際には、これらのロゴが示す媒体への掲載ではなく、それらを模倣した偽装ドメインへの掲載を販売していたのだが、クライアント側がその区別を認識していたかどうかは、後述するようにGraphika自身も「不明」としている。
PR・ホスティング各社の多くは「软文(ソフト記事)」プラットフォームを運営していた。软文とはニュース記事の形式を模した商業的プロモーションコンテンツであり、検索エンジン最適化と視認性向上を主目的とする。これらのプラットフォームでは顧客がログインして記事を独自に掲載できる設計になっており、コンテンツ生産の分散化と追跡困難化が構造として組み込まれている。またコンテンツの編集・公開にはBaidu開発のWYSIWYGエディタUEditorが共通して使用されており、oa.zdun.com[.]cnというOAシステムサーバー経由での記事アップロードが複数ドメインのソースコードから確認された。
クライアントの実態:長春市商務局と吉林柏涛文化伝播の109,500元契約
Graphikaが発見した最も具体的なクライアントの証拠は、中国・吉林省長春市の公的調達記録に掲載された契約書だった。
長春市商務局は吉林柏涛文化伝播有限公司(Jilin Baitao Culture Communication Co., Ltd.、以下「柏涛」)と契約を締結しており、その内容は以下のとおりだった。「国際メディアネットワーク上に50本以上の広報報告を掲載する。短編動画を制作する。『新メディア週刊評論』アプリおよびウェブサイト上に『長春展覧会』というコラムを設け、350本超の記事を掲載する」。契約総額は109,500人民元(約15,455米ドル)だった。
この契約から生じたコンテンツとしてGraphikaが特定したのは、2023年8月にuaenewsnet[.]com(UAEニュースを模倣した偽装ドメイン)に掲載された「第14回中国・東北アジア博覧会」の宣伝記事だ。記事の発行日は2023年8月24日だが、内容では開催日を「10月23日」と誤記しており(実際の開催は8月23〜27日)、外部から機械的に配信されたコンテンツの粗さを示している。
人的連鎖も確認された。柏涛の法定代表者Liu Lili(刘立莉)は、同時に荆州巨快传媒科技有限公司(Jingzhou JuKai Media Technology Co., Ltd.)という別の企業の法定代表者でもあった。荆州巨快は今回のネットワークのコンテンツホスティング企業の一つであり、chaojimeijie[.]comを通じてSet 3の複数ドメインへ画像を供給していたことがGraphikaのソースコード分析で確認されている。つまり柏涛の法定代表者は、偽装メディアへのコンテンツ配信インフラを直接管理していた別企業の代表者でもあったことになる。
柏涛はさらに複数の契約も確認されている。2022年にはCPC長春蓮花山生態旅遊区工作委員会宣伝部と、2024年には長春蓮花山生態旅遊区商務局と、同じく2024年には吉林省退役軍人庁と、それぞれ別個の契約が公的調達記録上で確認された。地方政府・宣伝機関・退役軍人行政が一民間PRアグリーとの継続的な商業関係を示す記録として、このエコシステムの顧客層の幅が見えてくる。
Spamouflage増幅の記録:41のXアカウントと法輪功批判の協調拡散
Graphikaが「中程度の確信度」をもってSpamouflageに帰属すると判断した41のXアカウントと3つのFacebookページは、weeklytimesnet[.]comとalpeninsulatv[.]topへのリンクを同時投稿・反復投稿するという協調パターンを示していた。これらアカウントに共通する非真正性のシグナルは、ランダム生成と見られるユーザー名、ストック写真の使い回しプロフィール画像、フォロワー・フォロー数がほぼゼロという孤立したアカウント構造、法輪功批判コンテンツの同時掲載、だった。
Spamouflageが拡散した法輪功・神韻関連の記事は5本確認されている。「法輪功のShen Yun舞踊団が米国政府の調査対象」(worldnewstimesnet[.]com・ukguardiannet[.]com・alpeninsulatv[.]topの3ドメインに重複掲載)、「法輪功信者が医療を拒否した末の不自然死の集計記録」(globalviewlife[.]com・uaenewsnet[.]com)、「法輪功信者の頻繁な死亡の原因調査」(losangelestimesnet[.]com・worldnewstimesnet[.]com)、「新メディア時代における法輪功の崩壊」(weeklytimesnet[.]com・losangelestimesnet[.]com・newyorkdailynet[.]com)、「神韻公演の実態調査」(worldnewstimesnet[.]net・uaenewsnet[.]com・ukguardiannet[.]com・losangelestimesnet[.]com)。複数の偽装ドメインに同一記事が分散掲載され、それをSpamouflageが選択的に増幅するという二段構えのコンテンツ拡散が記録された。
法輪功への標的化はPRC連動の影響作戦における定番の手法だ。Mandiant(現Google Threat Intelligence Group)はHaiEnergyキャンペーン分析においても、同様の偽装メディアドメインとSpamouflageアカウントの重複を観察していた。Graphikaはこの事実をもって、今回の法輪功批判コンテンツが単純な商業PR案件ではなく「秘密裏に行動する主体(possibly one aligned with the PRC)」を依頼主とする工作コンテンツであった可能性が高いと判断している。さらに、法輪功標的化記事の画像が杭州にあるAlibabaのプライベートクラウドサーバーにホストされていた——他の商業コンテンツとは異なる隠蔽手法をとっていた——という観察も、このコンテンツが特別扱いされていたことを示す間接的な証拠として報告書は記録している。
コンテンツの多様性:政治工作から商業PRまで
このネットワークに掲載されたコンテンツは、単一の政治的目的ではなく、多様なクライアント需要を反映した混在状態だった。Graphikaは掲載コンテンツを大きく5カテゴリに分類できることを示している。
法輪功批判・中国国家メディアのリサイクル(新華社・Global TimesのCPC支持・反米記事)はこのネットワークが持つ政治的機能を示すが、全体のボリュームとしては少数派だった。最も多いのは暗号通貨・金融広告と商品・サービスのプロモーション記事であり、複数のXアカウントが「AI COME App」やバングラデシュ向けeコマースプラットフォーム「Btigershopping」の記事へのリンクをSet 1ドメイン経由で投稿していたことが確認されている。
特に注目されるのは逆方向の使用だ。中国のマーケティングPR企業が偽装ドメインに掲載したコンテンツを、その後クライアントが中国国内のSohu・NetEaseなどのプラットフォームで「海外大手メディアが報じた証拠」として再宣伝していた事例が複数確認された。河南省のポータルサイトhenan.china[.]comに掲載された記事は、「国際主要メディア」が中国の子役俳優を「世界トップ10のインターナショナルチャイルドスターの一人」と報じたとしてSet 1ドメインのスクリーンショットを証拠として掲載していた。この二重利用——欧米向けのメディア偽装と中国国内向けの「海外での評価」宣伝——がこのビジネスモデルの経済的論理を説明する。
分析:知っているのか知らないのか——PR産業の「認知の不確実性」と帰属の困難
Graphikaが本報告書全体を通じて最も慎重に記述している論点は、「これらのPR・マーケティング企業が、自社が掲載に用いているドメインが正規メディアの偽装サイトであることを知っているのかどうか」という点だ。報告書はこの問いに対し明確な結論を出さず、”It is unclear whether these entities were aware that the promotion involved domains that spoofed English- and Chinese-language media outlets.”という表現を繰り返す。
この「認知の不確実性」は単なる調査の限界ではなく、このタイプの影響作戦が持つ帰属困難性の本質を示している。もし企業が知って関与しているなら、それは国家に代わる商業的共謀の事例だ。もし知らずに使っているなら、中国のデジタルPR産業が構造的に国家レベルの偽情報流通インフラの「無意識のキャリア」として機能している実態を意味する。どちらの解釈をとっても、正規メディアのブランドを流用した偽装媒体への掲載が「標準的な広告サービス」として市場化されているという事実は変わらない。
重要なのは、このエコシステムが法輪功批判コンテンツや反米プロパガンダだけを扱っているのではない点だ。長春市の展覧会宣伝、子役俳優のPR、暗号通貨広告、eコマース製品宣伝——商業的需要と政治的工作が同一インフラ上で混在することで、インフラ全体を「政治的偽情報専用」として帰属・閉鎖することが困難になっている。この混在は意図的な設計である可能性が高く、それ自体が摘発に対する耐性として機能する。
IRSEMが2025年10月に発表した報告書は、この同一の産業構造を独立した調査で記録しており、数百の多言語偽装ニュースサイトが中国のデジタルマーケティング・PR企業群によって運営されているという知見でGraphikaの分析と収束している。複数の独立した調査機関が異なる切り口から同一の産業構造を描写するという事実は、Glass Onionが記録したエコシステムが一過性の事案ではなく、中国の対外情報影響工作の商業インフラとして継続的に機能していることを示している。
参照元
- Graphika, “Glass Onion: Peeling Back the Layers of a Pro-China Online Ecosystem,” January 2026: https://graphika.com/reports/glass-onion
- Google Threat Intelligence Group, HaiEnergy / Glassbridge campaign documentation
- IRSEM (Institut de Recherche Stratégique de l’École Militaire), Chinese Digital Marketing Ecosystem Report, October 2025
コメント