フェイクニュース拡散ボットの存在を暴く

2019年5月28日

正しい情報を適切なタイミングで手に入れることで、富を得ることもあれば、命が救われることもあります。しかし、情報の現場は世界中どこもフェイクニュースに毒されているのが現実です。最近では、偽の情報をでっちあげ、オンラインに撒き散らすことが職業として成立しています。それだけでなく、フェイクニュース業界では、生身の人間に加えて何千ものSNSボットを採用し、効果の拡大を図っています。今年のSecurity Analyst Summitで、Recorded Future(英語)の調査チームが、このようなボットの見破り方を説明しました。

フェイクニュース拡散ボットがいまだに衰えない理由

SNS運営会社は、ボットのせいで本物の人間たちがSNSに魅力を感じなくなるとあって、ボットの存在をひどく嫌がっています。たとえばTwitterは、定期的にボットアカウントを特定して大量に凍結しています(英語記事)。このようにSNS運営会社はボットを検知する独自の手段(英語)を持っているのですが、それだけではボットを根絶できません。

SNS運営会社はどこも自社のアルゴリズムを明らかにしていませんが、おそらく異常なふるまいの検知をベースにしていると考えてよいでしょう。分かりやすい例を挙げると、1分間に100件投稿しようとしているアカウントがあったら、それは間違いなくボットです。また、別のアカウントのツイートをリツイートするだけで、自らツイートすることがまったくないアカウントも、ボットと見ていいでしょう。

しかし、ボットの作成者は、SNS運営会社の検知技術をすりぬけるべく、ボットの改良に務めています。一方、SNS運営会社側は、なるべく誤検知を避けなければなりません。誤って本物の人間のアカウントを大量に凍結してしまったら、大騒ぎになってしまいます。言い換えると、一定数のボットは検知されないままでいるのです。

ボットのふるまいを詳しく調査するために、Recorded Futureは、ある特定のボット集団を浮かび上がらせる特徴として、「Twitter上でしか触れられていないテロ事件についてツイートする」というふるまいを選びました。そのようなツイートをしているアカウントがあったら、それはおそらくボット(または、ボットをリツイートしているアカウント)であろうと判断できます。それでは、このようなアカウントにはほかにどのような共通点があるのでしょうか。

フェイクニュース拡散ボットのふるまい

まず、これらのアカウントがツイートしていたテロ事件は、実際に起きたものでした。これらの事件に関する記事は、ある程度世間で認知されているWebサイト(あからさまなフェイクニュースを拡散したことのないWebサイト)に掲載されていました。ここで1つ、些細ながら重要なポイントがあります。このような事件が起きたのは何年も前のことですが、これらのTwitterアカウントはそこに触れていないのです。しかし、信用のあるメディアにリンクしていますから、Twitterのボット検知アルゴリズムは反応しません。これこそ、ボットの黒幕の狙いです。

次に、このボットネットワークの場合、アカウントの持ち主が米国在住であるように見せかけていましたが、ツイートの内容はほぼ欧州諸国に関するものでした。この情報を得たことで、Recorded Futureは、これに似た特徴を持つアカウントをさらに200以上特定することに成功し、類似点や関係性をより詳しく調査していきました。

調査チームが活動パターンを図に表したところ、これらボットの多くが特定の時間帯にだけ活動していることが明らかになりました。一部のアカウントは今年5月に凍結されましたが、その後、同じふるまいを示す新しいアカウントが作成され、現在も稼働しています。

別の類似点としては、必ずしもフェイクとは言い切れないニュースを投稿するのに、さまざまなURL短縮サービスをすべてのアカウントで使っている点も挙げられます。URL短縮サービスを使用すると、たとえばリンクのクリック回数など、分析用のデータを手に入れることができます。URL短縮サービスといっても、t.coやgoo.glのような一般的なものではなく、分析用データを集めることだけを目的に作成された非公開サービスでした。余談になりますが、このような短縮サービスのWebサイトはどれもオレンジと白のすっきりしたデザインで、驚くほどよく似ていました。また、このサービスを使って、ボットアカウントを相互リンクすることも可能でした。

このような短縮サービスのWebサイトに関するWHOISデータを見ると、どれもMicrosoft Azureのクラウドプラットフォームをホストにし、登録は匿名で行われていました。偶然でしょうか?おそらく、偶然ではないでしょう。表立って見える活動が異なっても、これらのアカウントの間には多くの共通点があります。一般的に言って、1つのボットアカウントに独特の特徴を見出し、同じ特徴を持つほかのアカウントを探すという方法は、ボットネットワークの発見に効果的です

フェイクニュース拡散ボットを見分けるためのチェックリスト

以下に示すのは、フェイクニュース拡散ボットに見られる特徴です。1つのネットワークまたは組織的活動で使用されているアカウントは、ここに挙げた特徴のいくつかを共通点として持っているものです。あるSNSプラットフォーム上で複数のアカウントが以下の特徴を持っていたら、それらのアカウントはボットであると考えられます。

  • ハンドル名や名前が似ている。
  • まったく同じ日に作成されている。
  • 同じWebサイトへのリンクを投稿している。
  • 同じフレーズを使っている。
  • 同じ文法的誤りをおかしている。
  • 相互フォローしている、または別の似たようなアカウントをフォローしている。
  • 同じツール(URL短縮サービスなど)を使用している。
  • 同じ時間帯にのみ活動している。
  • プロフィールが似ている。
  • よくある画像や他人の顔写真(Googleで簡単に検索できるもの)をアイコンにしている。

もちろん、複数のアカウントに共通点が1つでもあったらこれらをボットと見なすべき、という意味ではありません。しかし、共通点が2つ以上(誤検知を回避するには4つか5つ以上)あれば、SNSボットネットワークの一部を目の当たりにしている確率は高いと言えるでしょう。

ティンカー、テイラー、ソルジャー、ボット

Recorded Futureチームの調査は、ふるまい分析がボットの検知に今でも効果的であることを示しています。数個のボットを発見し、ふるまいの特徴を確認し、同じようなふるまいを見せる別のアカウントを探すのです。

もちろん、これは現在も続いている(そして、終わることのないであろう)作業です。独自のふるまいパターンを持つ新たなボットが、日々登場していますから。1つのルールセットで、すべてのボットを特定することはできません。しかし、ふるまい分析によって、少なくとも、特定のボットネットワークの部分部分を特定することができます。このようにしてSNS運営会社はボットアカウントを凍結し、SNSを人間にとってより良い場所にすることができるのです。