DFRLabとフィンランドに拠点を置くCheckFirst社による調査で、「Pravda」として知られるロシアのウェブサイトエコシステムが2024年を通じてインフラを拡大していたことが判明した。以前は「Portal Kombat」と呼ばれていたこの作戦は、ヨーロッパ、アフリカ、アジアのより多くの国を網羅し、より多くの言語でコンテンツをロンダリングするように進化している。ウェブサイトのフォレンジック分析により、この作戦はクリミアを拠点とするIT企業TigerWebと、ロシアが支援する占領下のクリミア政府と疑わしいつながりを持つその所有者に結び付けられた。Pravdaエコシステムには、ロシアのニュースソース、ソーシャルメディア、Telegramチャンネルからコンテンツを再投稿する数百のニュースアグリゲーター、つまりポータルが含まれている。2022年以降、「Pravda」(ロシア語で「真実」を意味する)という言葉を特徴とする新しいタイプのウェブサイトが登場し、主にウクライナと西側の視聴者をターゲットにしている。ポータルは完全に自動化されているようで、オリジナルコンテンツは掲載していないが、より広い視聴者にリーチして制裁を回避するために、動画を再投稿したり出版物を翻訳したりしている。その名前にもかかわらず、プラウダのエコシステムは、同じ名前を持つロシアのメディアとはリンクを共有していません。フランスの偽情報監視団体Viginumによる2024年2月の報告書は、ウクライナの複数の都市で親クレムリンの物語をロンダリングし、英語、ドイツ語、フランス語、ポルトガル語、スペイン語を含む複数のヨーロッパ言語に翻訳した偽のニュースポータルのセットを暴露しました。当時、不正な新しいポータルの運営者は、「pravda-」と特定のハイフン付き国コードを含むドメインを使用していました。 2024年の欧州議会選挙に向けて、プラウダのエコシステムは進化し、立ち上げ、欧州連合のほぼすべての加盟国と欧州東方パートナーシップ諸国をターゲットとした新しいドメインを立ち上げました。さらに、最近クーデターが相次いでいるアフリカのサヘル地域では、フランス語圏の国々を標的とした複数のウェブサイトが次々と出現した。同様のウェブサイトは、2024年10月のジョージア議会選挙を前に登録された。すべてのドメインを1つのドメイン(news-pravda[.]com)に再編成する取り組みが進む中、2024年秋から2025年初頭にかけて、このネットワークは140のサブドメインを利用し、世界中の83以上の国と地域を標的とした。 Viginumの2024年2月のレポートに続き、2024年の欧州議会選挙の2か月前に、エコシステムが国固有のドメインを作成しようと何度も試みていることがわかりました。2024年4月、2024年4月26日に登録された最初の一連の4つのドメインは、バルト諸国とモルドバ共和�国をターゲットにしていました。ウェブサイトが国内言語と公用語で運営されていたキャンペーンの最初の分割とは異なり、この4つのウェブサイトのサブセットはロシア語で運営されており、これらの国のロシア語を話す少数派にアピールしようとしている可能性があります。ウェブサイトはまた、2つのIPアドレスに分散していました。ドメイン登録日 IP moldova-news.com 2024年4月26日 108.162.192.67 latvia-news.com 2024年4月26日 104.21.82.102 lithuania-news.com 2024年4月26日 104.21.30.198 news-estonia.com 2024年4月26日 108.162.192.67 出典:DNSLytics 2024年8月3日、ウクライナ全土の都市をターゲットにした21の新しいドメインが登場しました。これらのドメインはロシア語で運営されており、ロシアのレジストラreg.ruによってホストされ、モスクワ地域にあるIPアドレス178.21.15.41に表示されます。 レジストラ、ホストされているドメイン、およびIPアドレス178.21.15.41の場所を示すスクリーンキャプチャ。(出典: @DFRLab、DNSLytics経由) ウクライナ全土の都市をターゲットとするPravdaエコシステムの21のドメインを示すスクリーンキャプチャ。(出典: @DFRLab、host.io/archive経由) 同様に、2024年10月のジョージア議会選挙の2か月前に、2日間の期間内にジョージアとアルメニアをターゲットとする2つの新しいWebサイトが出現したことが確認されました。上記のWebサイトと同様に、このサブセットはロシア語でのみ動作し、news-estonia[.]comおよびmoldova-news[.]com Webサイトと同じIPアドレスを使用します。ドメイン登録日 IP アドレス georgia-news.com 2024 ��年 7 月 30 日 108.162.192.67 news-armenia.com 2024 年 7 月 28 日 108.162.192.67 出典: DNSLytics 2024 年秋、Pravda エコシステムは 1 つのトップレベル ドメイン ポータル news-pravda[.]com に戻り、世界中の 49 か国に焦点を合わせた一連の 63 のサブドメインにトラフィックをリダイレクトします。URLScan.io スキャンのスクリーン キャプチャ。赤で四角で囲まれた旧 Pravda ウェブサイトの解決済みドメインが、青で四角で囲まれたトップレベル ドメイン news-pravda[.]com にリダイレクトされ、緑で四角で囲まれた新しい言語および国固有のサブドメインが表示されます。 (出典: @DFRLab via URLScan.io) 米国固有のドメイン us.news-pravda[.]com は、2024 年米国大統領選挙の前日の 2024 年 11 月 4 日に出現しました。11 月 8 日にはさらに 3 つのドメインが出現しました。これらのドメインは、米国、EU、NATO、ドイツのオラフ・ショルツ首相、フランスのエマニュエル・マクロン大統領、ドナルド・トランプ次期大統領をターゲットにし始めました。ドメインIP 初確認 usa.news-pravda.com 172.67.137.144 2024-11-04, 16:26 trump.news-pravda.com 104.21.62.172 2024-11-08, 20:32 macron.news-pravda.com 104.21.62.172 2024-11-08, 19:54 eu.news-pravda.com 104.21.62.172 2024-11-08, 22:26 nato.news-pravda.com 104.21.62.172 2024-11-08, 21:32 ソース: DomainTools 2024年12月3日から2024年1月まで2025年1月8日には、マルタ、アイスランド、アイルランド、バルカン半島、ボスニアのスルプスカ共和国、モンテネグロなど、ヨーロッパの幅広い国をターゲットにした28の新しいサブドメインが登場しました。これらのサブドメインでは、カタロニア語、ガリシア語、バスク語、ウェールズ語、スコットランド語などの少数言語でコンテンツが制作されていました。追加のサブドメインは、アフリカ(アルジェリア、マリ、セネガル、カメルーン、ギニア、ガンビア、エリトリア、エジプト、モーリタニア、ナイジェリア、チャド、南スーダン、スーダン)、コーカサス(オセチア、アブハジア)、マオリ語を話すニュージーランドの視聴者をターゲットにしていました。最近では、このネットワークは範囲を拡大し、韓国、北朝鮮、台湾、日本、シンガポールなど、アジア諸国に焦点を当てています。私たちの調査では、2024年のViginumの調査結果も確認され、この活動はロシア占領下のクリミア半島に拠点を置くデジタルエージェンシーと関連していることがわかりました。インターネット アーカイブで見つかった Portal Kombat にリンクされた最初の Web サイトの記録によると、Tiger Web というエージェンシーのロゴが表示されていました。このロゴは、crimea-news[.]com と sochi-news[.]com のアーカイブ ページの 2 つのインスタンスで見つかりました。さらに、ニュース ポータル crimea-news[.]com が Web サイト Rating of Runet に残したレビューの 1 つのインスタンスを特定しました。Лента новостей Крыма (“Crimea News Feed”) と題されたこのレビューは、TigerWeb をロシアのクライアントと結び付けています。レビューには、「私はクリミアのニュース アグリゲーターの作成を依頼しました。彼らは話していて気持ちがよく、私が投稿したコメントはすべて考慮されました。[… ]」と書かれています。Rating of Runet (Rating of Runet) に残された Tigerweb に関するレビューのスクリーン キャプチャ。緑色で四角で囲まれているのは、crimea-news[.]com にリンクされているレビューです (出典: ratingruneta.ru/archive) Web フォレンジックでも上記の調査結果が確認されました。この機関に属するウェブサイト tigerweb[.]ru が、2016 年から 2024 年の間にロシアとウクライナの都市をターゲットにしてロシア語でニュースを広めた複数のウェブサイトと Google AdSense コードを共有していたことが判明しました。このサブセットで特定されたウェブサイトは、ウクライナの都市ヴォルイニとハルキウをウクライナ語でターゲットにしていました。これらは、Portal Kombat 作戦の最初の反復であると思われます。 14のニュースサイトで同一のGoogle AdSenseコードが動作していることを示すスクリーンキャプチャ。うち4つはウクライナ語(青)でコンテンツを掲載し、tigerweb[.]ru(赤)にリンクしている。(出典:@DFRLab、DNSLytics経由) 2015年のDNSレコードは、Tigerwebがウェブサイトuanews.crimea[.]uaとIPアドレスを共有していたことも示している。uanews.crimea[.]uaは、2016年から2024年までフラグが付けられたものと同じウェブサイトスキームとニュースコンテンツを共有していた別の詐欺ニュースポータルである。同じ期間に発見された他のウェブサイトには、ロシアの都市サラトフ、クラスノヤルスク、ソチ、ウファをターゲットにしたニュースポータルも含まれている。2015年にIPアドレス77.120.105.80でホストされてい�たドメインのスクリーンキャプチャ。Tigerwebのドメイン(赤)とウクライナ語で動作する詐欺ニュースポータルのドメイン(青)の両方が表示されている。 (出典: @DFRLab、DNSLytics経由) この活動の起源は、創設者のエフゲニー・シェフチェンコの活動に遡ります。シェフチェンコは2011年には早くもクリミアニュースの創設に携わっていました。この取り組みは彼の個人ブログに記録されており、私たちはこれをネットワークの前身、またはプラウダv0と見なしています。このウェブサイトは、複数のコンテンツソースを1つのウェブサイトlenta[.]crimea[.]uaに参照するニュースアグリゲーターです。 TigerWeb が「代理店」として初めて設立されたのは 2013 年ですが、この組織がロシアで正式に登録されたのは 2019 年になってからです。2014 年までに、Pravda ネットワークの最初のバージョンが登場し始め、tigerweb[.]ru と同じ IP でホストされました。たとえば、vladivostok-news[.]net や yaroslavl-news[.]net などの Web サイトには、アーカイブされたソース コードに見られるように、共有 Google Analytics アカウント (UA-47448818-*) の使用をはじめ、大きな重複が見られます。ネットワーク内の最も古い記事は、crimea-news[.]com に掲載された 2014 年 3 月のものです。yaroslavl-news[.]net での活動を 2014 年 7 月まで遡って追跡することができ、これらの Web サイトはネットワークの後のイテレーションが確立されるずっと前から運用されていたことがさらに実証されました。 シェフチェンコ氏のウェブサイトの分析は、彼のプロジェクトをホストするために、ネットワークの他の要素と同じIPアドレスでドメイン「crimea[.]ua」が使用されていたという追加の証拠を提供します。2018年には、TigerWebという機関名がvladimir-news[.]netなどのいくつかのウェブサイトのフッターに再び表示され、これにより、複数のプラットフォームにわたる機関の継続的な関与が強化されました。長年にわたり、プラウダのエコシステムは進化し続けています。ロシアにおけるTigerWebの公式法人登録は2019年に完了し、商標は2020年に登録されました。ウクライナとドンバスに焦点を当てたalchevsk-news[.]ruやdnr-news[.]ruなど、プラウダの外観と雰囲気を採用した新しいウェブサイトが登録されています。インターネットアーカイブの証拠は、これらのサイトが以前のロシアのネットワークのドメイン名命名規則に従っていることを示しています。2015年に初めて確認されたドメインdnr-news[.]ruは、自称ロシアの支援を受けるドネツク人民共和国をターゲットにしており、2019年に技術的な問題が発生しました。2022年に、dnr-news[.]ruは明らかに更新されたプラウダの美学で再登場し、デザインと運用戦略の両方で大きな変化を示しました。現在、このウェブサイトは、ThemeGrillが開発したモダンでレスポンシブなデザインのColorMagテーマを採用しています。このテーマは、洗練された外観とユーザーフレンドリーな機能で知られています。このテーマは、サイトの見た目の魅力を高めるだけでなく、現代のヨーロッパのデジタルメディア標準に合わせて調整し、プラットフォームが競争力とアクセス性を維持できるようにします。技術的な見直しに加えて、このウェブサイトは2024年に新しい編集チームを導入して、質の高いコンテンツへの取り組みを強化し、編集者のViktor ArtemyevとYuri Vlasenkoを任命しました。彼らの名前は、連絡先情報とともにサイトの「会社概要」ページに大きく掲載されています。これらの新しい編集者の存在は、運営がよりプロフェッショナルで透明性のあるものにしようとしていることを示唆しています。主にロシアとウクライナの視聴者向けに開発された「-news」ネットワークとPravdaネットワークが技術的なリンクで接続されていることに注意することが重要です。どちらのネットワークも、コンテンツ管理システム (CMS) を使用して、それぞれの Web サイトのコンテンツを管理しています。重要なのは、クライアント側でコンテンツを表示するために、どちらのタイプの Web サイトも 内部 API を使用していることです。この API 使用法は、プラットフォームの旧バージョンと新バージョンの両方で同一であり、同じエンドポイントとパラメータを採用しています。この API 使用法の統一性は、これらの操作の背後にある開発チームが標準化されたフレームワークを採用し、異なるネットワークを単一の技術アーキテクチャの下に効果的に統合していることを示唆しています。Tigerweb が使用するさまざまなサーバーを特定するために、176.99. *. *、178.21.9. *、185.38.18. *、188.93.208.1. *、188.93.213. *、193.227.134 を含む、すべての既知の REG.ru IP 範囲でスクリプトを実行しました。 *、194.67.64. *、194.67.76. *、194.67.77. *、194.67.106. *、213.189.199. *、62.113.93. *、176.99.4. *、178.21.12. *、185.38.18. *、193.227.134. *、194.67.106.*、および 213.189.199. *。スクリプトは、有効な HTTP 応答を使用して各 IP アドレスを処理し、添付された SSL 証明書の詳細を取得しました。タイガーウェブに関連する4つの証明書が発見された: IP SSL証明書ドメイン値 176.99.4.13 “176-99-4-13.tigerweb.ru;www.176-99-4-13.tigerweb.ru” 176.99.4.42 “176-99-4-42.tigerweb.ru;www.176-99-4-42.tigerweb.ru” 176.99.6.16 “176-99-6-16.tigerweb.ru;www.176-99-6-16.tigerweb.ru” 176.99.6.116 “176-99-6-116.tigerweb.ru;www.176-99-6-116.tigerweb.ru” シェフチェンコ氏は、ロシアの支援を受けるインド政府と何度も協力していたようだ。クリミア共和国は、2014年3月に同半島を占領して以来、同国で大規模なサイバー攻撃を続けている。2013年、TigerWebはウェブサイトcrimea-news.comを立ち上げた。これは「topnews」ネットワークの一部で、もともとウクライナの都市に焦点を当てたニュースアグリゲーターの前身である。DomainToolsで取得した情報によると、crimea-news.comとtopnews.volyn.uaは2013年から2016年まで同じIPアドレスに存在していた。Viginumは報告書の中で、電子メールアドレスtopnewsua7@gmail[.]comがネットワークの複数のウェブサイトのアーカイブ記録に現れることも指摘している。 2013年以来、IPアドレス77.120.105.277でホストされているtopnews.volyn.uaとcrimea-news.comを示すスクリーンキャプチャ。(出典:@DFRLab、DomainTools経由) ロシアのソーシャルメディアVKでは、crimea-news.comに関連するページは2013年11月からアクティブであり、ロシアの電気通信規制当局Roskomnadzorによって承認されていることを意味する「A+」ランクも獲得しています。Roskomnadzorの承認済みページとチャンネルのオンラインレジストリによると、Odnoklassniki (OK)とTelegramのWebサイトの関連ページも承認されています。crimea-news.comに関連するVKページのスクリーンキャプチャ。(出典: @DFRLab via VK) crimea-news.com に所属するソーシャル メディア ページと Telegram チャンネルの登録を示すスクリーン キャプチャ。 (出典: @DFRLab via Gosuslugi) namebook.club に掲載されたオンライン履歴書によると、シェフチェンコ氏は 2015 年から 2016 年まで国営企業 Krymtekhnologii (“クリミア テクノロジー”) でプロジェクト マネージャーとして勤務していた。 現在は民営化されたこの国営企業は、ロシアが支援するクリミア政府のポータルサイトや、2014年の併合を正当化する親クレムリンの言説を広めるロシアの春を作成したことで有名である。KrymtekhnologiiはITサービスの公募も担当している。2014年、ウクライナ国家安全保障国防会議は、同社のウェブサイトrtech.ruと、ロシアによる半島の違法な併合を促進することに関係する他の2つのウェブサイトを禁止する命令を発行した。ウクライナは2018年に同社と取締役のアレシュカンドル・イリッチ・ウズベク氏に対する新たな制裁を導入した。同社の経営陣は汚職の疑いもあり、クリミア全土で不動産事業を所有している。 Krymtekhnologiiの共同設立者の一人、アルセン・シダコフも、サンクトペテルブルクを拠点とする企業の一員であり、ロシアのオリガルヒであ��るアルカディ・ロテンベルグとリンクを結んでいる。ロテンベルグはプーチンの長年の支持者であり、資金提供者でもある。TigerWebは現在も、ロシアが支援するクリミア政府と関係のある顧客のために働いている。 2021年、タイガーウェブはクリミア地域の土地と不動産の価格を見積もる民間企業である共和国評価センター(ロシア語でRCOは_Республиканский Центр Оценки_)専用のオンラインポータルを作成しました。ウクライナのザポリージャ地域のロシア占領政府のウェブサイトで2022年12月に公開された文書では、RCOを「評価サービス:A.評価対象の市場価値の決定、リース対象の一時使用権と所有権の市場価値の決定(市場年間賃料)、B.建物、構造物、敷地のフロアプランの作成」に任命しました。 RCOの提案には13億5000万ルーブル(約1520万米ドル)の資金が充てられたとされる。RCOはウェブサイト上で、ロシア占領下のヘルソン地域にも同様のサービスを提供しているとしているが、DFRLabはこれを裏付ける文書を見つけられなかった。_アマウリー・レスプリンガートはCheckFirstの共同創設者兼CTO。_アマウリー・レスプリンガートとヴァレンティン・シャトレ、「ロシアのいわゆる「プラウダ」ネットワークが世界中に拡大」、デジタルフォレンジックリサーチラボ(DFRLab)、2025年2月24日、https://dfrlab.org/2025/02/24/russia-pravda-network-expands-worldwide/。