はじめに

　先日、こんな記事を書きました。

　これでも、当然ながら知っていることの二割程度も書いておらず、その後も状況の変化はありつつも引き続きロシアからの日本への不安定化工作は続いているよねという記事を書こうと思います。

　長くなりますので、以下にまずは「ネットワークとか知識がない人」向けのまとめを、また、別記事で、ある程度自力で調べられる人向けの有償記事をそのうち用意いたします。

◆　文春オンラインなど、ネットでの無料ニュース閲覧の裏では個人データ収集・不正リダイレクト等の危険なADネットワークが動き、マルウェアの温床化している

◆　文春系媒体の広告収益の約半分は、ロシア起点と見られる広告エッジから不正に流入しており、ロシア側に流れているトラフィックの推計がそのまま広告収益として文春に支払われているのであれば、年間2億円程度かそれ以上の収益を文春側媒体がロシアから得ているとみられる

◆　その広告は低品質CMS・偽装企業・ウイルス警告・IQテスト誘導など、クリックを誤誘導する悪性広告が中心で、個人情報・行動情報が収集されている

◆　クレカ盗難や不正利用に繋がるマルバタイジング（個人情報を抜くために広告を踏んだ人のPCやスマホにマルウェアを送り込むアドフラウド）にリダイレクトしているロシア系広告サーバーへの文春からのアクセスが大量に発見されている

◆　文春の政治関連記事をロシア側が厳選して拡散させているものと見られ、ADネットワークを経由したマネロン疑惑、政治局面に連動した出稿ピークなど国家攪乱・プロパガンダ目的の疑念がある

◆　ロシアによる文春誤報の情報拡散や不正なウェブ広告収益と同じ仕組みは、文春系媒体だけでなく、日刊ゲンダイ、シェアードニュースジャパンなど広く利用されている

◆　本件は15年から18年に発生しアメリカでロシア人ら8名を起訴し有罪判決を受けた「3ve（イヴ）」というデジタル広告詐欺スキームと酷似しており、広告ネットワークを偽装し、マルウェア感染した数百万台のPCやデータセンターで閲覧されていない広告ビューを大量に生成し、広告主等に支払わせたアドフラウド事件と極めて似ている

◆　ロシア側のネットワーク、サーバー構造は、日本に対し、特定の組織が繰り返し行ってきたSNSによる情報操作とアドフラウドの組み合わせである可能性が高い

　私も随分長く文藝春秋社にはお世話になってきて、顕名でウェブ連載も持たせていただいておりましたので、人として、今回のような指摘をしなければならないのは躊躇も強く感じます。文藝春秋社の皆さまには、本当に恩義も感じておりますし、深く感謝しております。

　また、文春オンラインとは本件記事化にあたり、かなり込み入った情報提供と共に質問もさせていただきましたが、文春側より簡単なご見解、ご回答も賜ったものの、起きている状況の重大さからいたしますとちょっとすんなりと納得できるものではありませんでした。

　職業人としても、昔のようにネットでいろいろ書き散らかして楽しく遊べる砂場のようなものから一転、それなりに年齢に応じた責任らしきものも背負うポジションになりました。もちろん本意ではありませんが、52歳にもなってガキのように好き勝手書いて暮らすというわけにもいかなくなったのです。個人的には勝手に卒業論文のようなものと考えてずっとヲチしてきたものを放流するのですが、思いのほか、割と重い感じになってしまいました。

　本稿は、私の有料メルマガ『人間迷路』用に本来は書くべきものですが、事案の重大さに鑑み、まずは概要の全文を公開することとしました。別記事有料部分に、検証を行った過程についてURL含めて詳述しています（玄人向けです）。ただし、前回の「参政党とロシア」の記事同様、状況はお知らせ出来ますが手口は記述できません。取材やお問い合わせいただいてもお答えできませんことはご容赦ください。これは、何ももったいぶっているからではなく、当局の然るべき筋には通報を行い共同で情報収集を現在も行っていること、また、これら得られたデータ群は月額二千万ぐらい支払って法人で利用しているASM(Attack Surface Management：インターネットからアクセス可能なIT資産の情報を調査し、それらに存在する脆弱性などのリスクを評価できるツール)やADネットワーク監視ツールなどの情報や、国内では違法だが海外では適法な手段を通じて得ている情報を組みわせた結果、このような結論になったからです。

　文春についてだけで6年近くそれなりに費用を掛けて気になってヲッチし続けてきた概要をプロ向けレポートですらないnoteで無料公開してどうするんだという気もしますが、上記の通り、文春と共に歩んできた自分自身のけじめとして神に捧げるべきだという判断になりました。

　本件は、日本のセキュリティコミュニティ、ホワイトハッカー集団の一角であるクロマティ高校自宅警備部のモヒカン系ネット技術者の皆さんとの共同作業になっております。多大なる労力とご支援を賜りましたことを感謝申し上げますと共に、もしも「こんな期間と労力に数千万以上の予算を掛けて調べたのに100円にもならんようなnoteで概要を全部公開しちゃう蛮族が可哀想だ」と思った読者の皆さんは、私の有料メルマガ『人間迷路』を取っていただくか、文末に全部読んで満足した人用の寄付ボタンとかつけておきますので、よろしければお前の財布から幾らか出していただけると幸いです。

本当に牧島かれんはステマをやったのかという話

　で、その文春媒体で25年10月2日、こんな記事が出ました。

　本件は、自由民主党総裁選の投票日が迫る中、小泉進次郎陣営にいた牧島かれんさんの事務所から、有力な対抗候補である高市早苗さんを『ビジネス似非（エセ）保守』などと酷評する書き込み例を掲げて支持者・支援者にネットで広めるよう指示した、と読める内容の記事です。総裁選で、あたかも小泉陣営が不適切な活動に手を染めたかのように強く印象付ける記事ですが、ここに書かれていることはどの陣営でも、いかなる政党でも支援者に支持をネットで書くよう呼び掛けるものであって、一般的なものであり、合法です。

　実のところ、これらの記事で書かれている内容はただの支援者に対する応援のお願いであり、依頼にあたり金銭は当然発生しておらず、ステマ（ステルスマーケティング）ですらありません。後からなぜかそのメールを送った社員を抱えている選挙プランナーの松田馨さんが「ウチがやりました」と謝罪するコメントを発表するなどしておりましたが、牧島かれんさんも松田馨さんも悪くありません。

　その言葉の使い方はともかく陣営が候補者の応援メッセージをネットで書いてもらえるよう要望すること自体は普通にあることで、しかもよく読むと『ビジネス似非（エセ）保守』という記載は対抗候補である高市早苗さんや小林鷹之さんに対するものではなく、自由民主党総裁選に対して中傷を繰り返し民族的ポピュリズムの主張を行っている参政党や日本保守党、NHK党などのインディー政党への強い牽制であることは明らかです。

　つまり、文春は実質的に「そういう風に読めなくもないが、問題ないもの」をあたかも問題であるかのように記事にして煽ろうとします。小泉進次郎陣営が他候補者をネットで中傷するよう支援者に対して有償で（カネを払って）求めた（＝ステマ）という誤報を流し、それがネットで拡散され、大炎上に至って、ほとんど勝ち確と見られた小泉進次郎陣営を大きく失速せしめ、結果的にガセネタで自民党総裁選に介入し結果を左右させてしまった、かもしれない、ということになります。Vやねん進次郎。

　ところが、ネットでの取り上げられ方やその後の拡散の流れからしますと、当初はこの問題は大きな話題になっていたとは言えない内容でした。つまり、何者かが小泉進次郎陣営の醜聞に繋がる文春のガセネタをネットで拡散させ、影響を行使しようとしたことに他なりません。

　振り返れば、週刊文春2023年6月1日号（オンライン版は23年5月24日付）で、総理・岸田文雄さん（当時）のご長男で総理秘書官であった翔太郎さんが、総理公邸で友人と忘年会をし、内閣発足時に閣僚などと集合写真を撮ることで有名な赤じゅうたんの敷かれた会談で酔っ払って寝そべるなどのスキャンダルに発展したことがありました。

　これも、当初はスクープという割にはそこまでアクセスを当初集めていなかったものが、記事公開から14時間ほどが経過してから突然ネットで「公私混同だ」との炎上が始まり、最終的に政治問題化して翔太郎さんの秘書官辞任に発展してしまいます。文春を含めた報道機関のスクープから各媒体で報じられ政治が大きく動いて選挙での勝敗や更迭人事に発展してしまうことは多々ありますが、本来はそこまでの問題ではなかったはずなのに、突然ネットで炎上が始まり、事態の収拾に追われるような一連の事象で符合しているのは親ロシア系アカウントとネット上での拡散が行われた形跡があることに尽きます。

　従前、ロシアのプロパガンダに関するデータを取り始めた2015年以降の推移でみると、岸田文雄さん総理就任当初や菅義偉政権に対してロシアによる情報操作はネットであまり行われていませんでした。純粋に、安倍晋三政権末期から菅政権までは、官邸に今井尚哉さんや前田匡史さんら親ロシア派の重鎮がいたためロシアにとって好都合だったのに対し、ドンバス紛争後（2014-2022年）にロシアによるウクライナ侵攻で始まったウクライナ戦争に対し明確にウクライナ大統領・ゼレンスキーさんを支援する立場を強く表明した岸田文雄さんに対するネットでの工作がその宣言を境に4.8倍に激増したことから、ロシアの対日観・対日情報工作の極めて枢要な問題として文春系媒体とロシアの関係は認識されます。

ロシア発大量アクセスを文春に流すASN「SERV.HOST GROUP LTD」とは何者か

　今回の参議院選挙（7月20日投開票）から自由民主党総裁選（10月4日開票）において、文春系サイト本丸のbunshun.jp / number.bunshun.jp へ広告を出していた不審な広告主は、ロシア関連のASNにまとまっています。主にVPN、proxy、VPSなどの用途と思われ、現時点で稼働していない類似のドメインが複数確認されていますが、その参院選～自民党総裁選までの期間に文春へ詐欺広告を出していたxelveriaol.comは、他国からの政治プロバカンダ記事からのトラフィックも受けていた形跡のある、由緒正しいロシア製詐欺広告を大量に扱うASNです。記憶の限りですが、初出は2016年からですから、ロシア系詐欺広告やボットファームのURLとしては老舗のほうに入ります。

　ASN（Autonomous System Number）とは、インターネット上で組織ごとのネットワークを識別し、他のネットワークとBGPで経路交換するために割り当てられる番号のことで、今回文春に大量のアクセスを集めたASN 単位では、SilverCom関連のものとして AS202422, AS204957, AS207957 などがあり、これらは実際に SERV.HOST GROUP LTD や GLOBAL CONNECTIVITY SOLUTIONS LLP と相互接続関係を持っています。

　思い切りロシアドメインのサイトが出てきますが、このロシア発ASNで貼られている文春の広告を踏むと飛ばされる先は「Russianturkie.com」など素敵な悪意リンクの塊（CMS的なもの）になっており、踏んだ人はさらにリダイレクトされ、有害なマルバタイジングの置かれたサイトに飛ばされます。踏んだり蹴ったりであります。一般的に、日本以外でもロシア発の広告を踏むと、粗悪なCMSサイトに飛び、その後マルバダイジングに飛ぶか、Windowsウィルス入ってる警告サイトに飛びます。

　マルバタイジングとは、マルウェアの拡散や不正なサイトへのリダイレクトを目的とした悪質なWeb広告のことで、文春はロシアから大量のアクセスをもらう一方、その広告主が貼った広告を日本人が踏むとクレデンシャル（＝認証情報全般を指し、端末に記憶されているID、パスワード、暗証番号、生体認証情報・指紋や顔など）が抜かれる怖れがあります。特にWindows PCや古いAndroid端末でアクセスしてしまった場合は、閲覧ブラウザ経由で端末の外から操作される可能性のある隠しファイルをダウンロードさせられてしまう悪質なものです。もしも、文春オンラインなどの記事で誤って広告をタップしてしまい、ブランクぺージなどにリダイレクトされた場合は、Windows PCやAndroid端末では特に情報管理に気を付けたほうが良いと思われます。もう遅いと思うけど。

SiiverCom
www.silvercom.ru

SERV.HOST GROUP LTD
https://find-and-update.company-information.service.gov.uk/company/15728390

　で、このASNを管理している会社はイギリスにあるけど経営者がウクライナ人で、しかし主たる活動拠点はロシアになっているということで、おそらくはGoogle Adsenseなどでの運用を行うためのASNを登録するために西側に置かれたダミー会社です。この広告は文春をメインとして日刊ゲンダイやECナビなど幅広く日本のサイトに対してマルバタイジング系の違法広告を流しています。この関連で見知った先だとシェアードニュースジャパンもランクイン。お前生きていたのかよ。他にも「https://newsphere.jp/」や「タイコエ　https://thainokoe.com/」「https://coki.jp/」など、一般のニュースサイトで割と共通したCSSで運用されているところに貼られた広告にロシア企業が配信していることが分かります。

　さらに、これらの媒体で貼られている広告は、メディアの側もよく分からずにGoogle Adsenseなどアドネットワークの広告を貼っている可能性があり、問題があると知らずに違法広告が配信されてしまった場合も多々あるのではないかと思われます。したがって、各媒体が広告配信先上位にランクインしているからといって、必ずしもロシアの対日本プロパガンダの手先とは（現段階では）言えません。

　しかしながら、文春の場合はここからさらに「広告主から文春オンラインほか文春系各媒体に対してロシアからブースト的なアクセスが来て、それなりに高額の広告費がロシアから文春に落ちている」可能性が極めて高くなっています。つまり、ロシアから流された不正なアクセスで、文春の記事はブーストされ、ロシア製ボットファームと一部連動をして、文春の記事が大量にSNSやSlackなどにばら撒かれて、さらに文春の記事にアクセスが集まり多くの人が読んだ結果「炎上を作り出すことができる」ことになります。

　この問題を解明するのがロシア発広告エッジです。広告エッジとは、広告配信のために各地域に分散配置された CDN／エッジ側の配信サーバーのことで、ロシアが広告を貼り、SNSでこれらの記事を煽ってアクセスを集めてマルバタイジング（詐欺広告）を踏ませて読みに来たユーザーのクレデンシャル（個人情報）を盗む仕組みと、文春自体が煽る牧島かれんステマ事案のように「疑わしく書いているけど実際には完全に合法」な記事をネットで拡散させて、そのような問題に関心のあるアカウント・個人を釣っています。

　さらに、記事本体の広告は紛らわしい悪質広告（ダークパターン）のオンパレードになっており、記事本文下に「続きを読む」とボタンが置かれているようなロシア製広告や「あなたの知能指数は？」「ADHDで悩んでいませんか」など知能指数や性格で生きづらさを感じている読者をターゲットにクレデンシャルを集めていることになります。社会や人生に不満を持っている読者をかき集めて、大量のアクセスを文春に流し込んでネットを炎上させる技法が、ここにはあります。

18年にアメリカで摘発されたアドフラウドとほぼ同じ手法で詐欺られる日本

　先にも書いた通り、アドフラウド（詐欺広告）の世界で最も象徴的だった事件の一つが3ve（イヴ）事件でございまする。まあ、問題の核心はここにもあるわけですな…。で、18年に米司法省が摘発した3ve事件は、オンライン広告のサプライチェーンを悪用した大規模なデジタル広告詐欺であり、単に「怪しい広告を出して利益を得た」ではなく、広告配信と閲覧の偽造、資金の洗浄、国際的なネットワーク犯罪の複合モデルとして、アメリカにて無事刑事手続きにまで発展しました。

　FBIと司法省が広告詐欺として本格的に刑事立件し、最終的に主要被告には実刑判決が下されていることは極めて重要です。この事件は、法執行が「広告不正」「トラフィック捏造」「中継ドメイン」「ASNとインフラの悪用」を犯罪行為として扱えることを示し、オンライン広告の構造が国家安全保障や資金洗浄問題と接続しうるという先例を作りました。つまり、単に「迷惑な広告だな」と思っているものは、割と重大な犯罪なんだよということに尽きます。

　この3ve事件で主犯格と位置付けられたアレクサンドル・ジュコフさんは無事逮捕起訴されて10年の懲役判決を受けており、他の関係者も同様に有罪となっています。ゆえ、こうした「広告ネットワークを装置として悪用し、資金を捻じ曲げて洗浄する」構造は、法的に裁ける領域・証拠化できる領域になっています。我がジャパンはどうなっておるのか？　という問題がございますけれども、今回の件で、少しは皆さんに「いま我が国のサイバーセキュリティや外国勢力からの政治介入の最前線は、日本の一部ハッキングコミュニティ有志やクロマティ高校貧乳を盛るな部など白髪のナイスミドルなおっさんがたによりギリギリ維持されているんだよ」ってことはご理解いただきたいのです。

　事実として、今回の日本国内で観測されている事象、すなわちロシア起点と疑われるトラフィックが、政治的影響力の大きい日本語ニュースサイト（文春オンラインなど）に大量に誘導され、広告入札とリダイレクトチェーンの深層で詐欺的要素を含むASNに着地する可能性がある、という構造は、3ve事件と比較した場合、技術面の骨格が酷似しています。というか、同じことをもっと洗練されたやり方で再度やられて日本人がロシア方面に資金や個人情報を貢いでいるとさえ言えます。広告枠・外部タグ・中継ドメイン・短命で入れ替わる着地先――これらの要素が「媒体の目に見えない部分」で作用するところも共通していますし、TiktokやTwitter(X)、Youtubeなどで乱舞しているガセネタ政治情報のブーストなども、先日「参政党とロシア」記事でも触れましたが手段としてはSNSや動画サイトのアルゴリズムをハックして不正にトレンドに乗せアクセスを集める手法として、極めて似ています。同じ奴らがやってんじゃね。ブーストされている側は、まさかロシアの不安定工作の片棒を担がされているとは知らず「ネットで俺の記事や動画がバズっている」「俺凄い」「めっちゃ政治情報儲かるやん」としか思わないかもしれません。お前らはとにかくガセネタを流すのはやめましょう。

終わりにというか、俺たちどうすんだよという話

　これはもう政府が対策を打ち始めていますし、高市早苗政権でもご前任の治安・テロ・サイバー犯罪対策調査会で明確に方向性を示してきた内容を敷衍するでしょうから、必要なことは情報収集と評価、それを行うための人員と予算そして法律になります。

　ロシアのサイバー攻撃やアドフラウド、また違法広告により奪われる日本人クレデンシャルが理由で企業にサイバー犯罪が起きたり、日本政府組織や都道府県・地方自治体、各企業や大学・医療機関および電力水道ネットなどのインフラなどで潜伏している隠しファイルが大量に送り込まれたり、良からぬことは多々発生します。あんまり気にせずネットに家電を繋いでいる人たちは、まさか自分のとこの旧式android搭載テレビが勝手に踏み台にされDDoS攻撃の櫓になったり一日3回文春オンラインを観に行くテレビになったりするかもしれません。

　これらの問題を、政府が統括的に対策を打つことは極めて困難です。言い方として酷になりますが、国民が状況を知らずにいろんな広告を踏みまくっている時点で、3ve的なアドフラウドやFIMI的な不安定工作の一助となってしまうのです。

　長年お付き合いを重ねてきたはずの文春オンラインには、さすがに私も見かねて10月3日に「ロシアからの不正なアクセスが文春系各サイトに着弾しているよ」という話をし、守秘義務を守りつつもロシアの鯖リストやヒートマップつきで情報をお示しし、改善を促してきました。さすがにひと月が経過して、現段階で、ますます元気いっぱいに詐欺広告を文春に振り撒き、いまだに林芳正さんのセクシーヨガ記事がロシア人対日担当のお気に入りなのか日々ブーストされているのを見ますと、やんぬるかなの心境となるわけでございます。

　末尾になりますが、さすがにこの記事を公表するにあたり私も悩みまして、愛する家内にも相談し、また、然るべき当局の皆さま、事情を知る偉い人および秘書の皆さま、さらには実質的に調査全般を担うだけでなく日々の状況チェックでご一緒しているセキュリティコミュニティの皆さまやクロマティ高校残業中社内トラフィックにエロ動画のURLリンクを残すな部の皆さまにも、深く御礼をさせていただきます。何よりも、ネットを使って楽しく暮らすすべての日本人の皆さまに安全と安寧があることを心から祈りますとともに、関係先各所に対しては、あらためて、感謝申し上げます。ありがとうございます。

　なお、なんだかんだこの仕事をやって15年以上が経過し、今回も踏み込んだ話は有償データで守秘義務的に許される範囲内、そして当局通報で対応をされる中身が類推されないことを念頭に記事を執筆しているものであります。ただ、今回は技術的バックグラウンドについてもう少しご理解いただけるようなデータソースも玄人向けに出していきたいと考えております。本稿は無料で最後の一文字まで読めてしまうのですが、この目的のためだけではないとはいえまあまあカネも使って人にも動いてもらって問題意識を披露している内容ではございますので、以下私のやっております有料メルマガ『人間迷路』やドネーションボタンでも置いておきます。「おまえ人間としてクズっぽいけど、まあまあ頑張ったんじゃねえの」とお感じ戴ける皆さまは私のメルマガでも取ってやってください。

　今後とも、よろしくお願い申し上げます。