2022年4月22日

NECサイバーセキュリティ戦略統括部 サイバーインテリジェンスグループの川北です。桜が散ってツツジの咲く時期となりました。「節度」「慎み」を花言葉とするツツジとは対照的に、デマや陰謀論などの偽情報・誤情報（フェイクニュース）は社会問題となるほど数多く飛び交っています。本稿ではそれら偽情報・誤情報にどう向き合っていくべきかを述べます。

偽情報・誤情報とは

英国議会下院デジタル・文化・メディア・スポーツ特別委員会の報告書[1]によれば、偽情報とは意図的に作成・共有される、受け手を欺き誤解させるための誤った・操作された情報を指します。そして、誤情報とは意図せず共有された間違った情報を指します。これらは総じてフェイクニュースと呼ばれることもありますが、情報がフェイク（でっちあげ）でなくとも受け手を誤解させる目的は達成できる点や、単にマスメディアを揶揄する目的でしばしば用いられる点から、偽情報・誤情報との表現が好まれます。

2016年の米国大統領選挙では「ローマ法王がトランプ氏の支持を表明」「クリントン氏を捜査中のFBI捜査官が無理心中」といった偽情報がソーシャルメディアを中心に拡散し、投票に向かう人々を惑わせました。同年、日本でも熊本地震の際に「動物園からライオンが逃げた」との偽情報が写真付きでソーシャルメディアへ投稿され、それを信じた人々が動物園や警察へ問い合わせる騒ぎが発生しました。[3]

その後、2020年の米国大統領選挙でも発生し、現在も、COVID-19、ロシアのウクライナ侵攻で様々な偽情報・誤情報が飛び交っています。「政治フェイクニュースに接触した人の81.2%が偽情報と見抜けていない」との報告[4]もあります。

こうした情報から身を守るにはどうすればよいのでしょうか。

ファクトチェック

当事者でなければ、受け取った情報の真偽を断定するすべはありません。しかし、小さな事実の積み重ねにより、客観的に見て正しいのか判断することはできます。特定の主張によらず、情報が事実に基づくものかどうか検証し、その過程・結果を共有することをファクトチェックといいます。ただし、害を与える意図や発信者の特定は行いません。[5]

様々な機関がファクトチェックの結果を公開しています。本稿では身近な検索エンジンを使った閲覧方法を紹介します。

Google社のFact Check Tools [6]にアクセスすると、偽情報・誤情報とファクトチェックの結果を検索できます。また、最新のファクト情報を一覧することもできます。ウェブ検索でもファクトチェックの結果が併記される場合があります。残念ながら、日本語の情報はまだ少ないのが現状です。

現状のファクトチェックは主に人力であることが多いです。そのため、偽情報・誤情報を発信する攻撃側よりも、地道に証拠を積み上げて身を守る防護側のほうがはるかに手間のかかる、コスト上の問題があります。これはサイバーセキュリティにおける攻撃と防護の関係と酷似しています。

この問題を解決する取り組みのひとつとして、サイバー攻撃の検知やマルウェア対策と同様に、AIを活用したファクトチェックにより防護側の手間を減らす動きがあります。自然文による偽情報には一定の傾向があるとされ、機械学習によってモデル化することで偽情報を自動的に検出可能にするものです。機械学習による判断の根拠は学習データに依存するため、必ずしも専門家によるファクトチェックの代わりとなりませんが、類似する偽情報を大量に流布するタイプの攻撃にはコストの点で有用です。

また、画像や音声においても同様の動きがあります。機械学習の一種であるディープラーニングで生成した画像や音声をディープフェイクといいます。ディープフェイクの生成手法のひとつであるStyleGAN（A Style-Based Generator Architecture for Generative Adversarial Networks）[7] は非常に精巧な人物画像を生成し、話題となりました。ディープフェイクを偽情報として悪用された場合、人間の目では真贋の判定が困難ですが、ディープラーニングのアルゴリズム上の特性からディープフェイクであるか否かを見破る様々な研究も進んでいます。

異なるアプローチとして、日本政府の推進するTrusted Web [8]が挙げられます。これは2019年のダボス会議やG20サミットで安倍首相（当時）が演説した「DFFT（Data Free Flow with Trust）」[9]を具現化したといえるもので、現行のインターネットにオーバーレイして、特定のサービスに依存せずデータのコントロールや検証可能性を担保するガバナンスメカニズムです。情報の出所を検証し、客観的な評価から情報を見極めることが可能となるため、有効な偽情報対策となります。しかし、新たな技術の浸透には時間を要するでしょう。

AMITTフレームワーク

偽情報の問題をサイバーセキュリティになぞらえて考える方法論のひとつとして、偽情報を記述・理解するために設計されたAMITT（Adversarial Misinformation and Impact Tactics and Techniques）フレームワーク[10] [11]があります。

AMITTの考え方はサイバーセキュリティの世界では一般的なMITRE ATT&CKフレームワークに基づくもので、4つのフェーズ、12の戦術、64のテクニック（執筆時点）により偽情報を用いたキャンペーンの攻撃方法、行動および目的を構成できるようになっています。また、防御のテクニックもあわせて定義されています。

図 5 AMITT Design Guide [12]から引用

AMITTフレームワークが将来主流となるか否かはわかりませんが、STIX等の統一されたフォーマットで偽情報の痕跡やファクトチェックの成果が組織間で交換されれば、攻撃側にとって大きな脅威となるはずです。

リテラシー教育

サイバーセキュリティでの考え方を持ち込むと、偽情報・誤情報へ対抗するには技術だけでなく、人への投資も必要です。

欧州の非営利団体EAVI（the European Association for Viewers Interests）はメディアリテラシーを高める教材として”Beyond Fake News – 10 Types of Misleading News” [13]を公開しています。メディアリテラシーとは情報を集めて多角的に捉える能力です。この教材では単なる「偽情報」「誤情報」という区分ではなく、実例を交えながら情報を10の区分に整理しています。

また、情報リテラシーの備わった人は偽情報を見分ける能力が高いとの報告[4]があります。情報リテラシーとは、情報を目的にあわせて活用する能力を指します。一方で、偽情報を見分ける自信がある人ほど、偽情報を拡散した経験のある割合が高いとの報告[14]もあり、バランスの良いリテラシー教育が求められます。

さらに言えば、NIST SP 800-50 [15]で示されているように、リテラシー（知識）だけでなく、トレーニング（訓練）やアウェアネス（自覚）も大切です。特にアウェアネスの醸成はサイバーセキュリティと同様に難しい課題です。フィッシングが疑われる電子メールの文面を読むときのように、目にした情報を鵜呑みにせず、偽情報・誤情報ではないかと立ち止まって考えるクセをつけたいものです。

さいごに

去る4月2日（エイプリルフールの翌日）は国際ファクトチェックデー（International Fact-Checking Day）でした。偽情報・誤情報について考える機会と考え、本稿を執筆しました。

マルウェアの流布が情報システムへのサイバー攻撃ならば、偽情報・誤情報の流布は社会システムに対するサイバー攻撃と捉えられるのではないでしょうか。従来のサイバーセキュリティで培われた方法論を導入し、偽情報・誤情報攻撃による被害を回避・軽減しましょう。

ところで、同じツツジ科のツツジとサツキの花はとてもよく似ていて、見分けがつきにくいそうですよ。

参考文献

執筆者の他の記事を読む