身元確認、マネーロンダリング、詐欺の検知ツールを開発する英ThirdFortが22.7億円調達

英国では最近、マネーロンダリング(資金洗浄)が話題だ。同国は圧力に直面している。国内の一等地の不動産のような、巨額の資産に費やされた資金の出所を追跡するために規則を厳格にするだけでなく、ここ数週間のロシアへの制裁を受け、そうした規則を実際に適用すべきだという圧力だ。この国の首都は一部で「ロンドンの洗濯屋」と呼ばれている。

ロンドンのスタートアップThirdfort(サードフォート)が現地時間3月7日、1500万ポンド(約22億7000万円)の資金調達を発表した。同社は、プロフェッショナルサービス企業がより徹底したデューデリジェンスを行い、不審な点があれば警告できるようなプラットフォームを開発している。

今回の資金調達はシリーズAでBreegaがリードし、B2Bフィンテックに特化したElement Venturesの他、ComplyAdvantage、Tessian、Fenergo、R3、Funding Circle、Fidelの創業者らも出資した。

社長のOlly Thornton-Berry(オリー・ソーントン・ベリー)氏によると、同氏とJack Bidgood(ジャック・ビッドグッド)氏がThirdfortのアイデアを思いついたのは、友人がロンドンでアパートを購入する際にフィッシング攻撃を受けて2万5000ポンド(約380万円)を失ったことがきっかけだった。詐欺師が取引に関するデータを入手し、友人が購入手続きに使っていた法律事務所と似たようなドメインを作成し、友人の弁護士になりすまし、リンクを介して金額を送金するよう求めるメールを送ってきた。数週間後、その友人は同じ金額を、今度は本物の弁護士から要求されたため、皆は不正を疑い始めた。その友人がお金を取り戻すことはなかった。

ソーントン・ベリー氏は、この事件が、顧客が取引に入る前に専門サービス企業が要求する情報がいかに少なく、より巧妙な詐欺の試みに対して顧客がいかに保護されていないかを浮き彫りにしたと話す。

これがThirdfortという姿で結実した。同社は、LexisNexis、ComplyAdvantage、Companies Houseなど複数のリソースのビッグデータツールキットを提供する。ツールキットによって、複数のリソースを比べ(顧客が選び)、個人とその資金源に関するさまざまなデータポイントを提供できる。同社は、法律と不動産市場の企業のニーズに対応するツールをまず開発した。

現在の製品は2つの部分がある。まず、法人顧客向けに開発された「リスクエンジン」があり、これはKYC(know your customer)チェックだけでなく、企業がマネーロンダリング防止規制に準拠するためにも使用することができる。法律事務所のDAC Beachcroft、Penningtons Manches Cooper、Mishcon de Reya、不動産業のKnight Frank、Strutt & Parker、Winkworthなど、すでに約700社がこのプラットフォームを利用している。

第2に、そうした企業の消費者顧客向けに作られたアプリがある。このアプリは、オープンバンキングのインフラを利用して作られており、銀行自身の銀行アプリを経由して、企業と顧客の銀行を接続し、安全な方法で取引の決済を行うことができる。このアプリは、これまで約50万回ダウンロードされた。

米国のAlloy(この会社とThirdfortのどちらかが、もう片方の市場に参入すると、AlloyはThirdfortの競争相手となる)と同様、Thirdfortの売り文句はこうだ。しっかりやろうとすれば、本人確認や資金源調査にはもっと時間がかかり、多くは手作業になり、金もかかるというものだ。というのも、残念なことに、企業にとっては多くの場合、できるだけ早く取引を成立させることだけが利益となるからだ。そのため、資金が実際に届いたかどうかを確認する以上の徹底したデリジェンスを実行する意欲が失われてしまう。これが、決められたプロセスをきちんと実行させるための規制が重要となる理由の1つだ。

英国では長年にわたり規制強化が検討され、何度も押し戻されてきたが、世界情勢や世間の監視の目が厳しくなり、時代は変化しつつあるようだ。つまり、企業はより多くの業務をこなさなければならなくなり、Thirdfortのような企業にはチャンスとなる。

以前は、身元(ID)チェックは、大規模なIDデータベースのうちの1つを選択し、そのデータと一致することを確認していたが、ごまかすことは可能だった。また、銀行取引明細書が必要な場合、専門サービス会社にはファックスやPDFで送れば済んだが、偽物はオンラインで簡単に入手することができる(ここにサイトのリンクを貼ることはしない)。

「今、求められているのは、もっと多くのことです」とソーントン・ベリー氏は話す。「銀行から入手した明細で入出金の動きを見たり、顧客に具体的な質問をしたり、贈与された金額が明記されている場合には、それを精査をしたりと、徹底したデューデリジェンスを行う必要があるのです。AML(マネーロンダリング対策)の要求水準が高くなり、まったく新しい種類のワークフローが誕生しつつあります」。

Thirdfortは現在、主に詐欺の発見に焦点を当てているが(顧客の関わる約12件の疑わしい取引を止めることができたとソーントン・バリー氏はいう)、それはまた、AMLディリジェンスとコンプライアンス規制のために開発されたものでもある。もっと広く利用されれば、特に国際的な資金が絡む大きな取引で本領発揮する可能性がある。

「消費者とプロフェッショナルサービス双方にとって、詐欺のリスクとコンプライアンスの必要性は大きな負担となっています」とBreegaのプリンシパルであるMaxence Drummond(マクセンス・ドラモンド)氏はいう。「消費者は取引のたびに認証を受ける必要があり、規制を順守するプロフェッショナルらは顧客の確認とコンプライアンスに貴重な時間を費やしすぎているからです」。

原文へ

(文:Ingrid Lunden、翻訳:Nariko Mizoguchi

Google Playで発見されたデータ窃盗アプリ、数千回ダウンロードされる

パスワードやテキストメッセージなどのユーザーデータを盗むよう設計された悪名高いAndroidバンキングトロージャンがGoogle Playで発見され、すでに数千回ダウンロードされた。

AnatsaやToddlerとしても知られるTeaBotバンキングトロージャンは、2021年5月に初めて発見され、テキストメッセージで送られた2要素認証コードを盗み出すことで欧州の銀行をターゲットにしている。オンライン詐欺の管理および防止ソリューションを提供するCleafyの新しいレポートによると、現在、このマルウェアは第2段階の悪意のあるペイロードを介して配布されるように進化しており、ロシア、香港、米国のユーザーを標的にしているとのことだ。

Cleafyによると、以前はTeaTV、VLC Media Player、DHLやUPSといった配送アプリなど、一般的なアプリを餌にしたSMSベースのフィッシングでマルウェアが配布されていたが、アプリ内の偽アップデートという方法でTeaBotを配布するためにGoogle Playの不正アプリが「ドロッパー」として機能していた、と同社の研究者は指摘する。ドロッパーは、正規のアプリに見えるが、実際には第2段階の悪意のあるペイロードを配信するアプリだ。

アプリ「QR Code & Barcode – Scanner」は削除されたが、発見されるまでに1万回超ダウンロードされた。しかし、このアプリは約束された機能を提供しているため、アプリのほぼすべてのレビューが肯定的な評価だ。

このアプリは正規のものに見えるが、すぐに2つ目のアプリ「QR Code Scanner: Add-On」のダウンロード許可を要求してくる。アドオンは、複数のTeaBotのサンプルを含んでいる。インストールされると、TeaBotはログイン情報、SMSメッセージ、2要素コードなどの機密情報を取得するために、デバイスの画面を表示し、制御する許可を求める。また、他の悪意のあるAndroidアプリと同様、Androidのアクセシビリティサービスを悪用して、マルウェアがキーボード入力を記録できるよう権限を要求する。

「公式Google Playストアで配布されるドロッパーアプリは、いくつかの許可を要求するだけで、悪意のあるアプリは後からダウンロードされるため正規のアプリに紛れてしまい、一般のウイルス対策ソリューションではほとんど検出できません」とCleafyは警告している。

TechCrunchはGoogleにコメントを求めたが回答は得られなかった。しかし、このアプリはGoogle Playから削除されたようだ。

Cleafyによると、TeaBotは現在、ホームバンキングアプリ、保険アプリ、暗号資産ウォレット、暗号資産取引所など400以上のアプリを標的にしていて、1年未満で500%以上増加している。

画像クレジット:Bryce Durbin / TechCrunch

原文へ

(文:Carly Page、翻訳:Nariko Mizoguchi

英歳入関税庁が2.2億円相当の脱税案件の捜査にともないNFTを押収、英法執行機関として初

英歳入関税庁が2.2億円相当の脱税案件の捜査にともないNFTを押収、英法執行機関として初

Dinendra Haria/SOPA Images/LightRocket via Getty Images

英国の歳入関税庁(HMRC)が、詐欺事件に関わる調査の一環としてNFT3つを押収したことを明らかにしました。当局によると、このNFTに関して140万ポンド(約2.2億円)以上の付加価値税(VAT)詐欺の疑いがあり、調査の一環としてのNFTおよび5000ポンド(約78万円)相当の暗号資産を押収したとのこと。英国の法執行機関がNFTを押収するのは今回が初めてとされます。

容疑者は偽造身分証明書、プリペイド電話、VPNなどを使い、250以上の偽装企業を通じた金品の売買に応じて徴収されるVATの額をごまかしていたとされ、脱税の疑いで逮捕されました。

調査はまだ進行中ですが、HMRCの経済犯罪担当副局長ニック・シャープ氏は、このNFTの「押収事例が暗号資産を脱税に利用すれば金を隠しおおせると思っている人たちへの警告になる」と述べ「われわれは常に新しい技術に対応し、犯罪者が資産を隠そうとする方法を研究把握している」としています。

NFTとは、デジタルアートワークやビデオゲームのキャラクターなどバーチャルなアイテムの所有権を追跡するために、ブロックチェーン技術を応用した非代替性トークンのことで、これが添付されたデジタルアートや、何らかのデータが本物かどうかを証明する鑑定書のようなものといえばわかりやすいかもしれません。

巨額の案件がいくつかニュースになり、その結果2021年には総額400億ドルを超えるNFTが販売、取り引きされたと伝えられています。しかしNFTには法的な規制や保護が整備されていない状況であり、たとえば自己売買(いわゆるウォッシュトレード)を繰り返すことによる価格つり上げから、まがい物、盗作品などを使った詐欺案件も急増しています。

NFT売買大手の米OpenSeaは、今回のNFTの押収について「犯罪者が暗号のしくみを隠れ蓑にできないことを示している」とし「執行機関がその取り引きを追跡して違法行為に使われたNFTと暗号資産を押収し犯罪者に利益を得させないようにできる」とコメントしています。

(Source:BBC NewsCNBCEngadget日本版より転載)

暗号資産取引やフィンテック企業で起こる不正を独自のアルゴリズムで見つけるSardine

暗号資産やフィンテックの世界では、詐欺の検出が今や人気のビジネスとなっている。特に暗号資産は最近、注目を浴びる大規模な事件があり、このエコシステムの住人である企業はこぞって、コンプライアンス能力を高め、規制の熱湯を浴びないよう心がけている。

関連記事:米司法省がハッキングで盗まれた4160億円相当のビットコインを押収、ロンダリングの疑いで技術系スタートアップ関係者夫婦を逮捕

フィンテック企業のためのコンプライアンスプラットフォームSardineは、主にネオバンクやNFTのマーケットプレイス、暗号資産取引所、そして暗号資産の新進スタートアップたちに利用されている。同社の50ほどの顧客の中にはBexやFTX、Luno、 Moonpayなどがいる。

CEOで共同創業者のSoups Ranjan(スープ・ランジャン)氏は、TechCrunchのインタビューで「私たちの顧客全員が求めるユースケースは要するに、お金がウォレットにロードされるときに詐欺を防ぎたいということです」という。

SardineのCEOで共同創業者スープ・ランジャン氏(画像クレジット:Sardine)

顧客がマネーをクレジットカードやデビットカードやACH送金などから自分のウォレットに移すとき、Sardineは独自のアルゴリズムを使ってそのカードや銀行口座にリスクスコアを割り当て、そのトランザクションの詐欺被害可能性を評価する。リスクスコアと詐欺検出という2つの機能を同社は長年提供しているが、米国時間2月10日、同社は、即時ACH送金というサービスを発表した。それを利用すると顧客は、これまでのような、自分の資金にアクセスするための3〜7日の待ち時間を回避することができる。Sardineの方法では、消費者の暗号資産による購入に対し事前に資金をロードしておき、待ち時間に起きる詐欺や規制やコンプライアンスのリスクを避ける。

Sardineは2021年3月に450万ドル(約5億2000万円)のシード資金を調達し、今回はAndreessen Horowitz(a16z)や NYCA、Experianなど新しい投資家からの1950万ドル(約22億6000万円)のシリーズAを調達したことを発表した。これまでの投資家も、このラウンドに参加した。ランジャン氏によるとラウンドをリードしたのはa16zとのこと。

ランジャン氏はこれまで、Coinbaseのデータサイエンスとリスクのディレクターや、Revolutの暗号資産部門のトップを務めた。彼によるとSardineのリスク評価アルゴリズムは、ユーザーの行為がそのベースだ。そのアルゴリズムは例えば詐欺の可能性として、名前のような基本的な入力でいろいろなウィンドウを切り替えるなど、分割されたタイピングを検出する。また、ユーザーのスマートフォンの加速度計やジャイロスコープのデータや、ネットワークトラフィックに関する情報などからも、詐欺の脅威を評価する。

Sardineは警察のツールではなく詐欺の検出が仕事なので、いろいろな規制の地域による政治による違いは重視しない。クライアントは世界中にいて、日本やロシアなどの企業の米国進出を手伝ったこともあるとランジャン氏いう。そして同社の技術者は、世界中のすべての標準時間帯に配置されているそうだ。

「詐欺はグローバルなものです。詐欺師の行動には共通したパターンがあります。お金をカナダで盗むか、米国か日本かといった違いは無関係です」とのこと。

今回の資金調達で得た資金は、近い将来、少なくとも30人の従業員を雇用するために使われる予定だとランジャン氏はいう。技術チームの増強に加えて、成長、マーケティング、法務の各チームを率いる幹部も募集している。

ランジャン氏は「新世代のフィンテック起業家はすばらしいアイデアの持ち主たちですが、外国の複雑なコンプライアンスの処理には疎い」という。

「私たちは彼らの詐欺対策やコンプライアンス処理を助けて、彼ら自身がそこで悩まないようにします。彼らには、プロダクトの構築と立ち上げと市場化対策に専念してほしい」。

画像クレジット:RamCreativ

原文へ

(文:Anita Ramaswamy、翻訳:Hiroshi Iwatani)

米消費者の2021年ソーシャルメディア詐欺被害額は約888億円、2017年の18倍に増加

米連邦取引委員会(FTC)の新しい報告書によると、ソーシャルメディアで詐欺に遭う米国の消費者が増えており、2021年に消費者は7億7000万ドル(約888億円)をソーシャルメディア詐欺で失い、同年の詐欺被害総額の約4分の1を占めていることが明らかになった。また、この数字は2017年に報告されたソーシャルメディア詐欺被害額4200万ドル(約48億円)から18倍に増えており、暗号資産やオンラインショッピングが関係する新しいタイプの詐欺が流行したためだと、FTCは指摘している。これにより、多くの若い消費者が詐欺に遭うようになり、現在、18〜39歳の成人は、40歳以上の成人に比べて2.4倍多く詐欺に遭っている。

スキャマー(詐欺師)たちは、ソーシャルメディアが詐欺を行うのに最も収益性の高い場所の1つであることを明確に認識している。9万5000人超の詐欺被害者が、最初にソーシャルメディアでコンタクトがあったと答えており、この数は2020年の2倍超、2017年の19倍にのぼる。

画像クレジット:FTC

2021年に詐欺でお金を失ったとFTCに報告した人の4人に1人以上が、詐欺のきっかけとなった投稿、メッセージ、広告を最初に見たのはソーシャルメディア上だったと回答した。連絡方法が明記されていない報告を除くと、2021年の詐欺による損失の26%をソーシャルメディアでの詐欺が占め(7億7000万ドル、約888億円)、次いでウェブサイトやアプリが19%(5億5400万ドル、約639億円)、そして電話が18%(5億4600万ドル、約629億円)だった。しかし、個人の損失額の中央値は、ソーシャルメディア詐欺の468ドル(約5万4000円)に対し、電話詐欺が1110ドル(約12万8000円)と最も多い。

ソーシャルメディア詐欺が最も多く発生しているのは、Facebook(フェイスブック)とInstagram(インスタグラム)であることがデータから読み取れる。

オンラインロマンス詐欺の場合、ユーザーの3分の1以上が、スキャマーからの最初の働きかけがFacebookまたはInstagram上でのものだったと報告している。具体的には、Facebookが23%、Instagramが13%だ。これらの詐欺は、一見無邪気な友達申請から始まり、甘い言葉、そして金銭の要求へと続くと報告書にはある。

一方、2021年の投資詐欺の半数以上(54%)は、ソーシャルメディアプラットフォームから始まっていて、スキャマーは偽の投資機会を宣伝したり、人々と直接つながって投資を促したりしている。ここではInstagramがスキャマーに人気で、投資詐欺の36%を占め、次いでFacebookが28%、そしてメッセージングアプリのWhatsApp(ワッツアップ)とTelegram(テレグラム)がそれぞれ9%と7%だった。

そしていまでは投資詐欺の大部分に暗号資産が関わっていることも明らかになった。2021年、FTCに報告されたソーシャルメディア投資詐欺の64%で暗号資産が支払い方法となっている。決済のアプリやサービスが使われたのは13%、次いで銀行振り込みや銀行決済が9%だった。

画像クレジット:FTC

ロマンス詐欺と投資詐欺が引き続き金額ベースで最大の被害で、過去最高を記録してもいるが、FTCへの報告数が最も多い詐欺は、消費者がソーシャルメディアで初めて見たものを購入しようとするものだ。ほとんどの場合、被害者はFacebookやInstagramで販売されているものを見て、購入しようとしていた。

2021年にソーシャルメディア詐欺で失ったお金についてFTCに届けのあった報告の45%は、オンラインショッピングに関連するものだった。そのうちの70%近くは、ソーシャルメディア上の広告を見て注文したものの、その後商品が届かなかったというものだった。また、広告から「そっくり」ウェブサイトに誘導され、本物のオンライン小売業者から購入したかのように騙されるというケースもあった。このような詐欺のうち、10件中9件はFacebookとInstagramがプラットフォームとして使われている、とレポートにはある。

オンラインショッピング詐欺の増加は、消費者がお金を失うというだけでなく、eコマースのエコシステム全体とソーシャルメディア企業のビジネスにとっても決定的な意味を持つ。近年、FacebookとInstagramは、オンラインショッピングをサービスの中核とするために多額の投資を行っており、広告主とターゲットとなる顧客を結びつけることを約束している。Meta(メタ)が所有するアプリには独自の「ショップ」セクションがあり、消費者は商品を閲覧して、外部のウェブサイトに移動することなく直接精算することができる。しかし、これらのプラットフォームで紹介されているオンライン小売業者の正当性に消費者が警戒心を抱くようになれば、将来的にソーシャルメディアからの買い物を躊躇するようになるかもしれない。

Metaにとって、消費者の購買行動の変化は、過去数年よりも現在の方が大きな問題となっている。というのも、同社の大規模な広告ビジネスは、消費者が追跡を拒否できるようにしたApple(アップル)のiOSのプライバシー変更によって影響を受けているからだ。広告のパーソナライズ機能の低下による市場の変化を予測して、Metaは自社のプラットフォーム内で消費者のショッピングに基づくより多くのファーストパーティデータを取得できるアプリ内ショップを作成し、収益の多様化を進めている。また、サブスクリプションやチップなど、クリエイターエコノミーからの新しい収入も開拓している。

FTCは、2021年のソーシャルメディア詐欺のうち、投資、ロマンス、eコマースで70%を占めているが、それ以外にもソーシャルプラットフォームに関連した詐欺の種類があると述べている。ただし、報告書ではこれらをカテゴリー別に分けてはいない。

原文へ

(文:Sarah Perez、翻訳:Nariko Mizoguchi

米FTCが星4つ以下のレビューを隠していたオンラインショップに約4.8億円の罰金

ネットのレビューは当てにならないということは周知の事実だが、一般的には平均星4.5の製品は平均星3.5の製品よりも優れていると考えたいものだ。しかし、それも間違っているかもしれない。あなたが見ているサイトは、悪いレビューの掲載すら許可していないかもしれないのだから。FTC(連邦取引委員会)から420万ドル(約4億7800万円)の和解命令を受けたばかりのFashion Nova(ファッション・ノバ)のように。

何が起こったのか説明しよう。まず、Fashion Novaは、サードパーティ製のレビュー管理ツールを使っていた。ユーザーが購入した商品をレビューできるサイトを運営する者にとっては、きっと当たり前のことなのだろう。しかし、その後、彼らはひどいことをした。2015年から2019年まで、4つ星と5つ星のレビューをサイトに自動的に表示させ、それ以下のものは承認が必要になるようにしていたのだ。そして、何十万件も承認せず、サイト上の商品の品質が高く見えるよう、人為的に操作していたのだ。

「Fashion Novaは、サイト上のレビューが、サイトにレビューを投稿したすべての購入者の意見を正確に反映していると偽っていました。和解案は、同社の欺瞞的行為に対処するための規定を設け、消費者が被った被害に対して420万ドル(約4億7800万円)の支払いを命じるものです」と、FTCは状況を説明するブログ記事で記している

この件に関するさまざまな文書は、こちらで見ることができる。

FTCは、このような詐欺がサードパーティ製のレビュープラットフォームを装って行われていることを察知したようで、その後、レビュープラットフォームを運営する他の10社(元の会社同様、無名)に対して警告状を送っている。そして10月には、偽のレビューや偽の推薦文に関して、「見ていなさい」と告げるかのようなより広範な警告を行った。

Fashion Novaが無実の犠牲者だと心配する人のためにいっておくと、同社が連邦当局と関わるのはこれが初めてではない。2020年には、怪しげなキャンセル・返品ポリシーに関して900万ドル(約10億2500万円)の支払いに同意している(残念なことに、この罰金が全額支払われるかどうかは誰にもわからない)。

関連記事:ロボットを使った詐欺広告業者の業務は止められるが、その罰が非道さに見合わない現実

これとは別に、おそらくこの発表と時期を同じくして、FTCは、オンラインレビューにお金を払ったり勧誘したりしようとするマーケティング担当者のためのガイドラインを更新した。例えば、透明性を保ち、一度募集したレビューには肯定的なものも否定的なものも表示されるようにするなど、正しいやり方がある。そして、他の方法も……。また、レビューを公開するプラットフォームに対し、レビューの出所やインセンティブ、可視性を自分たちに有利になるように操作することについて、よく考えるべきだという新たなガイダンスを発表している。

偽のレビューはオンライン経済の疫病だが、今のところ誰もこの問題を解決していないか、小売業者にとって、多くの作業を必要としたり、さまざまな有利な取り決めが崩れたりするために、治療法が実はその病気よりも悪いかのどちらかだ。FTCのこのちょっとした対応が、小売業者を正しい方向へ導いてくれるかもしれない。

画像クレジット:Kiyoshi Hijiki / Getty Images

原文へ

(文:Devin Coldewey、翻訳:Akihito Mizukoshi)

「App Storeの詐欺師」と非難された音楽アプリAmpMeが週10ドルの料金を引き下げ

Apple(アップル)がApp Storeの収益の大幅な増加を喧伝していたのとほぼ同じ時期に、開発者であり著名なApp Store批評家でもあるKosta Eleftheriou(コスタ・エレフテリオ)氏は、App Storeに潜む新たな詐欺師と思われる存在を明らかにした。エレフテリオ氏はTwitter(ツイッター)で、音楽同期アプリ「AmpMe(アンプミー)」の利益に言及する投稿を行った。同アプリは、ユーザーの音楽を複数のデバイス、例えば友人たちのスマートフォンやBluetoothスピーカー、コンピュータースピーカーとの間で同期させることで、音楽のボリュームを高めるとうたっている。AmpMeはこの基本的なサービスに週10ドル(約1150円)という信じがたい金額を請求しており、App Storeでフェイクレビューを使ったプロモーションを展開していた。

AmpMeのiOSアプリは、一部の機能の利用にはサブスクリプションを必要としないが、音楽を他のデバイスと同期させたい場合には必要になる。ユーザーがこのアプリをダウンロードした主な理由はおそらく後者であろう。

エレフテリオ氏は、このサービスが同氏のいう「不合理な週10ドル(年間約520ドル[約6万円])」で価格設定されていることを指摘している。ほとんどのアプリ内サブスクリプションと同じように、このサブスクリプションも自動更新される。また、Appleはサブスクリプションの簡単な登録と継続を可能にしているが、キャンセルについては、App StoreまたはiPhoneの設定アプリからアクセスできるアカウントページの「サブスクリプション」セクションからのみ可能となっている。アプリ自体の中でキャンセルすることはできない。

AmpMeは少なくとも料金についてはユーザーを欺こうとしていなかった。登録ページには、無料トライアル提供期間は3日間であり、その後は週9.99ドルのサブスクリプションで提供されることが明記されている。

だがこのアプリがApp Storeのルールに抵触した部分は、潜在顧客へのマーケティングの仕方にあった。

AmpMeは大量のフェイクレビューを購入していた。それはナンセンスな名前に関連する5つ星の評価が多いことからも明らかである。例えば、Nicte VidelerqhjgdやElcie Zapaterbpmtlのような名前は、誰かがキーボードのボタンをマッシュ(ランダムに打つこと)したような感じがある。だがこうしたレビュアーが「すごくいい!」とか「超便利」あるいは「他の音楽アプリは要らない!」などのポジティブなフィードバックを残したことは確かである。

(興味深いことに、これらのレビュアーは他のアプリにも5つ星のレビューを残しているが、すべて同じ日に投稿されていた。実に疑わしい)

フェイクレビューによって同アプリのApp Storeでの総合評価は星4.3となり、まともで便利な音楽同期ツールのような印象を与えた。一方で、本物のレビューは、App Storeの正規ユーザーが法外な価格や基本機能、あるいは明らかなフェイクレビューについて不満を述べていたが、スパムによってかき消された。

Appleは何年もの間、この見かけ倒しのアプリに対策を講じてこなかった。さらに悪いことに、App Storeのエディトリアルコレクションを通じて何度もプロモーションを行っていたとエレフテリオ氏は指摘している。

同氏が今回の件から導き出した結論は、AppleはApp Storeの詐欺師の取り締まりに手ぬるいだけではなく、詐欺アプリの収益のポテンシャルのために、実際にそうする意欲を削がれている可能性があるというものである(これ以外に考えられる結論は、App Storeを消費者のために安全に保つことに関してAppleは無能であるというものだが、これも実によろしくない様相である)。

エレフテリオ氏はAppfiguresのデータを引用し、App StoreでのAppleの手数料控除後の生涯収益として、AmpMeがこれまでに1300万ドル(約14億8900万円)を得ていることを伝えている。

別の企業はこの数字をさらに高くしている。Apptopia(アップトピア)はTechCrunchに対し、2018年10月にアプリ内課金による収益化を開始して以来、1600万ドル(約18億3300万円)の収益を上げたと語っている。そのうち1550万ドル(約17億7600万円)がApp Store経由で、50万ドル(約5730万円)がGoogle Play経由であった。アプリ内購入収益の大部分(75%)は米国の消費者からのもので、これまでに3350万のライフタイムインストールを記録しており、そのうちの38%は米国からとなっている。

TechCrunchに寄せられた回答の中で、AmpMeは今回提起された主張の一部に異議を唱えた。

同社によると、ユーザーは年間520ドル、つまり週10ドルのサブスクリプション料金の合計に相当する金額を支払っていないという。有料ユーザー全体の平均年間サブスクリプション収益は約75ドル(約860円)であると同社は説明する。これは、ユーザーが無料トライアルを利用した後、ある程度の時間を置いて購読をキャンセルしていることを示している。AmpMeはまた、内部的には、このことが自社の価格設定の透明性とオプトアウト手続きの容易さに対する信念を強めたことにも言及した。

しかし同社は、なぜApp Storeのリスティングがフェイクレビューで埋め尽くされたのかについて適切な回答を示さず、代わりに匿名のサードパーティに責任を転嫁した。

「私たちは、多くのスタートアップがそうであるように、マーケティングとアプリストアの最適化を支援する外部のコンサルタントを何年にもわたって雇ってきました。さらなる監視が必要であり、それが私たちが現在取り組んでいることです」と匿名のAmpMe担当者から送られた声明文には記されている(eメールの署名は「AmpMeチーム」となっていた)。

さらに同社は、この最近のフィードバックに対応するものとして、同アプリの新バージョンをより低い価格でリリースすることを明らかにした。

「私たちは常にAppleのサブスクリプションガイドラインを遵守しており、その高い基準が確実に満たされるように継続的に取り組んでいます」とメールには書かれている。「また、コミュニティからのフィードバックを尊重し、その価値を重んじています。したがって、より低価格の新しいバージョンのアプリは、すでにレビュー用としてApp Storeに提出されています」。

このバージョンは現在公開されており、毎週のサブスクリプション料金は9.99ドルから4.99ドル(約570円)に引き下げられている。

エレフテリオ氏は米国時間1月13日、フェイクレビューが手動で削除されているようであるとTechCrunchに語った。

米国時間1月10日の午前11時に、同氏はこのアプリのレビュー数が5万4080件であったことを伝えていた。AmpMeかなり悪評立った後、11日午後9時までに同アプリのレビュー数は5万3028件に減少した。12日の午前7時までにレビュー数は再び減少し、5万693件になった。しかし、アプリ全体の評価はあまり影響を受けていない。これは、偽のApp Storeユーザーが投稿したレビューが削除されている一方で、5つ星の評価が付けられているがレビュー内容やレビュワーの名前が表示されていないレビューは削除されていないことが考えられる。つまり、クリーンアッププロセスは、同アプリがフェイクレビューを購入したことを明らかにするものではないということである。

また同じように興味深いのは、AmpMeのCEOであるカナダのテクノロジー起業家Martin-Luc Archambault(マルタン=リュック・アルシャンボー)氏である。同氏が開発し、ソフトウェアからアドウェアに転換した「Wajam(ワジャム)」は、カナダのプライバシーコミッショナー事務局(OPC)によって過去に調査され、同意なしにユーザーデータを収集してカナダのインターネットプライバシー法に違反したことが判明した。また、複数の方法を用いてウイルス対策ソフトウェアによる検出を回避したと当時の報道は伝えている。OPCが調査結果を発表した際、アルシャンボー氏は問題のカナダのユーザーデータは破棄され、Wajamはその資産を中国企業に売却したと主張していた。OPCの報告書によると、同アドウェアはその存続期間中に何百万回もインストールされたという。

つまり、これはフェイクレビューを買うことに反対する人の話とは思えない。

AmpMeは当初の声明以降の追加質問に回答しておらず、Appleにもコメントを求めているが回答は得られていない。

Crunchbase(クランチベース)のデータによると、AmpMeはこれまでに1000万ドル(約11億4600万円)のVC資金を調達している。

画像クレジット:AmpMe

原文へ

(文:Sarah Perez、翻訳:Dragonfly)

【コラム】ソーシャルメディアとマッチングアプリが抱える深刻な身元確認問題

ソーシャルメディアとマッチングアプリはそろそろ、自分たちが蒔いてきた種を刈り取り、各プラットフォームから詐欺、偽装、デマ情報を一掃すべきだ。

その誕生当初、ソーシャルメディアやマッチングアプリは、インターネットの世界の小さな一角を占めるにすぎず、ユーザーはわずかひと握りだった。それが今では、Facebook(フェイスブック)やTwitter(ツイッター)が、選挙に影響を及ぼしたり、ワクチン接種の促進を後押しまたは阻害したり、市場を動かしたりするほどに巨大な存在になっている。

また、何百万もの人々が「生涯の」伴侶と出会うためにTinder(ティンダー)やBumble(バンブル)などのマッチングアプリを利用しており、そのユーザー数はFacebookやTwitterに迫る勢いだ。

しかし、お祭り騒ぎはここまでだ。信用や安全よりも利益が優先されてきた結果、なりすまし犯罪やオンライン詐欺が入り込む隙が作り出されてしまった。

今や、BumbleやTinderで友達が「キャットフィッシング(なりすましロマンス詐欺)」に遭ったという話も、家族の誰かがTwitterやFacebookでオンライン詐欺の被害を受けたという話も、日常茶飯事である。悪意のあるネット犯罪者が個人情報を盗んで、あるいはなりすましの個人情報を新たに作って、詐欺を行ったり、政治的または商業的な利益のために偽情報を拡散したり、ヘイトスピーチを広めたりした、というニュースは毎日、耳に入ってくる。

ほとんどの業界では、ユーザーによるなりすまし詐欺の実害を被るのは当事者である企業だけで済む。しかし、マッチングアプリやソーシャルメディアのプラットフォームで信用が崩壊すると、その被害はユーザーと社会全体に及ぶ。そして、個人に及ぶ金銭的、心理的、時には身体的な被害は「リアルな」ものだ。

このような詐欺事件の増加を食い止める、あるいは撲滅する責任を果たしてきたのは誰だろうか。何らかの措置を講じてきたと主張するプラットフォームもあるが、各プラットフォームがその責任を果たしてこなかったことは明白だ。

Facebookは、2020年10月から12月の期間に、13億件の偽アカウントを摘発したが、これは十分というには程遠い数だ。実際のところ、ソーシャルメディアやマッチングアプリは現在、最低限の詐欺防止策しか講じていない。簡単なAIと人間のモデレーターは確かに有用だが、膨大な数のユーザーには到底追い付かない。

Facebookによると、3万5000人のモデレーターが同プラットフォームのコンテンツをチェックしているという。確かに大勢だ。しかし、概算すると1人のモデレーターが8万2000件のアカウントを担当していることになる。さらに、ディープフェイクの使用や合成ID詐欺犯罪の手法の巧妙化など、悪意のあるネット犯罪者は手口を日ごとに進化させているだけではなく、その規模も広げつづけている。経験豊富なユーザーでさえもそのような詐欺行為に引っかかってしまうほどだ。

ソーシャルメディアやマッチングアプリのプラットフォームは、この問題と闘う点で腰が思いと批判されてきた。しかし、実際のところどのように闘えるのだろうか。

なりすましロマンス詐欺の被害は深刻

次のような場面を想像するのは難しくない。マッチングアプリで誰かと出会って連絡を取り始める。その相手がいう内容や質問してくる内容に、怪しさは感じられない。その関係が「リアル」だと感じ始め、親しみを覚え始める。その感情は気づかないうちにエスカレートして、警戒心は完全に解け、危険信号に対して鈍感になり、やがて恋愛感情に発展する。

このようにして新たに出会った特別な人とあなたは、ついに直接会う計画を立てる。するとその相手は、会うために旅行するお金がないという。そこであなたはその人を信じて、愛情を込めて送金するのだが、間もなくその人からの連絡が一切途絶えてしまう。

なりすましロマンス詐欺事件の中には、被害が最小限にとどまり自然に解決するものもあるが、上記のように金銭の搾取や犯罪行為につながる事例もある。米国連邦取引委員会によると、ロマンス詐欺の被害額は2020年に過去最高の3億400万ドル(約348億8000万円)を記録したという。

しかし、これは過少に報告されている結果の数字であり、実際の被害額はこれよりはるかに大きい可能性が高く「グレーゾーン」やネット物乞いを含めるとさらに膨れ上がるだろう。それなのに、ほとんどのマッチングアプリは身元を確認する術を提供していない。Tinderなど一部の人気マッチングアプリは、身元確認機能をオプションとして提供しているが、他のマッチングアプリはその類いのものを一切提供していない。ユーザー獲得の妨げになるようなことはしたくないのだろう。

しかし、オプションとして身元確認機能を追加しても、単に上っ面をなでるような効果しかない。マッチングアプリ各社は、匿名IDや偽IDを使ったユーザーの加入を防ぐために、もっと対策を講じる必要がある。また、そのようなユーザーが社会と他ユーザーに及ぼす被害の重大さを考えると、マッチングアプリ各社が防止策を講じることを、私たちが社会として要求すべきだ。

身元確認はソーシャルメディアにおいて両刃の剣

ロマンス詐欺はなにもマッチングアプリに限ったことではない。実際のところ、ロマンス詐欺の3分の1はソーシャルメディアから始まる。しかし、ソーシャルネットワークサービスにおいて身元確認を行うべき理由は他にもたくさんある。ユーザーは、自分が本物のOprah Winfrey(オプラ・ウィンフリー)やAriana Grande(アリアナ・グランデ)のアカウントを見ているのか、それともパロディアカウントを見ているのかを知りたいと思うかもしれない。オプラ・ウィンフリーやアリアナ・グランデ本人たちも、本物のアカウントとパロディアカウントとの違いがはっきり分かるようにして欲しいと思うだろう。

別の重要な点は、ソーシャルネットワーク各社は身元確認を行うことによってネット荒らしの加害者を抑制すべきだという世論が高まっていることだ。英国では、同国のリアリティー番組人気タレントKatie Price(ケイティー・プライス)が主導して始まった「#TrackaTroll(#トロール行為を取り締まる)」運動が勢いを増している。プライスがHarvey’s Law(ハーヴェイ法)の制定を求めて英国議会に提出した嘆願書には、およそ70万人が署名した。ハーヴェイとは、匿名の加害者からひどいネット荒らしの被害を受けてきた、彼女の息子の名前だ。

しかし、ソーシャルネットワークを利用する際の身元確認を義務化することについては、強く反対する意見も多い。身元確認を行うと、家庭内暴力から逃げている人や、政治的な反対勢力を見つけ出して危害を加えようとする抑圧的な政権下の国にいる反体制派の身を危険にさらすことになる、というのが主な反対理由だ。さらに、政治やワクチンに関する偽情報を拡散しようとする多くの人々は、自身の存在を顕示して、自分の意見に耳を傾ける人を集め、自分が何者なのかを世の中に認知させたいと考えているため、身元確認を行っても彼らを抑止することはできないだろう。

現在、FacebookとTwitterは、正規アカウントに青い認証済みバッジを表示させる制度に「認証申請」プロセスを導入しているが、確実な措置というには程遠い。Twitterは最近、「認証申請」プログラムを一時的に停止させた。いくつもの偽アカウントを正規アカウントとして誤認証してしまったためだ

Facebookはもっと進んだ措置を講じてきた。かなり前から、特定の場合、例えばユーザーが自分のアカウントからロックアウトされたときなどに、身元確認を行ってきた。また、投稿されたコンテンツの性質、言葉遣い、画像に応じて、投稿者のブロック、認証の一時停止、人間のモデレーターによるレビューを行っている。

身元確認とプライバシー保護を両立させることの難しさ

悪意のあるネット犯罪者がマッチングアプリやソーシャルメディアで偽のIDを作って詐欺行為を働いたり、他の人に危害を加えたりすると、それらのプラットフォームに対する社会の信頼は損なわれ、プラットフォームの収益にも悪影響が及ぶ。ソーシャルメディアのプラットフォーム各社は今、ユーザー数を最大限まで伸ばすことと、ユーザーのプライバシーを保護することを両立させるために、あるいは、より厳しくなる規制とユーザーからの信頼失墜に直面して、日々格闘している。

盗難やハッキングによる個人情報の悪用を防ぐことは非常に重要である。もしTwitterやFacebookで誰かが自分になりすましてヘイトスピーチを拡散させたらどうなるだろう。自分はまったく関与していないのに、職を失うかもしれないし、もっと深刻な被害を受ける可能性もある。

ソーシャルメディアプラットフォーム各社は、ユーザーと自社のブランドを守るためにどのような選択をするのだろうか。これまで、プラットフォーム各社の決断は、テクノロジーよりも、ポリシーや利益の保護を中心として下されてきた。プライバシーに関する懸念に向き合って信頼を築くための対策と、利益確保の必要性とのバランスを取ることは、彼らが解決すべき戦略上の大きなジレンマだ。いずれにしても、ユーザーにとって安全な場所を作り出す義務はプラットフォーム各社にある。

ソーシャルメディアやマッチングアプリのプラットフォームは、ユーザーを詐欺や悪意のあるネット犯罪者から守るために、もっと大きな責任を担うべきだ。

編集部注:本稿の執筆者Rick Song(リック・ソング)氏はPersonaの共同設立者兼CEO。

画像クレジット:Andriy Onufriyenko / Getty Images

原文へ

(文:Rick Song、翻訳:Dragonfly)

セラノスの元CEO、11件の詐欺容疑のうち4件で有罪評決

Elizabeth Holmes(エリザベス・ホームズ)被告は、Theranos(セラノス)の創業者兼CEOとして、投資家を欺いた罪で有罪評決を受けた。4カ月にわたる裁判手続きと7日間の審議の末、陪審団はシリコンバレー以外にも永続的な影響を与える評決に達した。

かつて最年少で最も裕福であり、一代で億万長者となった女性は、2件の通信詐欺共謀罪と9件の通信詐欺罪に問われた。ホームズ被告は、投資家詐取の共謀と、デボス家、ヘッジファンドマネージャーのBrian Grossman(ブライアン・グロスマン)氏、元不動産・信託弁護士のDan Mosely(ダン・モーズリー)氏からの投資家を詐取したことで有罪評決を受けた。患者への詐取に関する容疑については無罪となった。

Black Diamondの幹部Chris Lucas(クリス・ルーカス)氏、Hall Groupの幹部Bryan Tolbert(ブライアン・トルバート)氏とマネーマネージャーのAlan Eisenman(アラン・アイゼンマン)氏が裁判で証言した3件の通信詐欺については、陪審団は評決に至らなかった。Edward Davila(エドワード・ダビラ)判事は、これら3件について審理無効とした。Jeffrey Schenk(ジェフリー・シェンク)検事は、司法省と協議した後、政府がどのように進めたいかを1月9日の週に裁判所に伝えると述べた。

ホームズ被告はスタンフォード大学を中退した後、2003年にTheranosを設立した。静脈内の血液を採取して検査結果を何日も待つ代わりに、指先を刺して採取するほんの少しの血液だけで、瞬時に何十もの検査を行うことができるという、医療システムに革命を起こす技術を投資家やパートナーに売り込んだ。間もなくホームズ被告は評価額100億ドル(約1兆1620億円)の企業のCEOとなったが、1つ問題があった。それは、その技術が機能しなかったことだ。

Theranosは2018年に解散したが、ホームズ被告の刑事裁判は、パンデミックとホームズ被告の出産による遅れを経て、2021年秋に始まった。検察側は11週間にわたり、元米国防長官のJames Mattis(ジェームズ・マティス)氏、内部告発者のErika Cheung(エリカ・チャン)氏、Theranosの患者、投資家、医療関係者、ジャーナリストなどの証人に尋問を行い、ホームズ被告が故意に投資家を欺いたと主張した。

Theranosの技術が実際には同社が主張するような成果を上げていなかったにもかかわらず、ホームズ被告は、自分は真実を語っていると思っていたと述べた。投資家に提示したスライドショーは科学者やエンジニアが作ったものだとさえ主張した。しかし検察側は、ホームズ被告が故意に投資家やパートナーをミスリードしたと陪審団を説得することに成功した。その証拠の1つは、TheranosがWalgreens(ウォルグリーン)との提携交渉中にPfizer(ファイザー)のロゴを無許可で使用していたことを示すものだった。Theranosの元シニアプロダクトマネジャー、Daniel Edlin(ダニエル・エドリン)氏は、Theranosが投資家の前で偽りの技術デモンストレーションをすることがあったと証言した。億万長者の投資家Rupert Murdoch(ルパート・マードック)氏が血液検査を受けたとき、Theranosは報告書を送る前に異常な結果を削除したと、エドリン氏は述べた。

注目を集めている裁判の大きな展開として、ホームズ被告は自ら証言台に立ち、スタートアップ創業者としての失敗は、自身が詐欺を働いたことを意味するものではないと主張した。重要な場面で、ホームズ被告はTheranosのCOOであるRamesh “Sunny” Balwani(ラメッシュ・”サニー”・バルワニ)被告が自身を虐待したと主張した。

2023年に別の裁判に臨むバルワニ被告は、ホームズ被告の秘密のボーイフレンドだった。2人はホームズ被告が18歳、バルワニ被告が37歳のときに出会い、ホームズ被告がスタンフォード大学を中退した翌年に同居し始めた。ホームズ被告はまた、スタンフォードの学生時代にレイプされ、それが学位を取得できなかった理由の1つだと公判で述べた。ホームズ被告は「この会社をつくることで、人生を切り開こうと決めた」。ホームズ被告はバルワニ被告の支配的な行動について詳しく説明し、そこには何を食べ、いつ眠り、どのような服を着るかなど、毎日のスケジュールを指示する書面を作成することも含まれていた。ホームズ被告は「彼(バルワニ被告)は私が平凡であることにかなり失望し、どうすればもっと良くなれるかを教えようとしていた」と述べた。

陪審団は7日間審議し、陪審説示を家に持ち帰ってレビューしてもよいか尋ねさえした。また、証拠として提出されたホームズ被告と投資家の通話音声の一部の聞き直しを求め、それでも審議は新年に入っても続いた。

審議7日目に、陪審団は11件の罪状のうち3件について全員一致の評決に至らなかったとする3回目のメモを判事に提出した。検察側はダビラ判事に、陪審団がデッドロック状態に陥った場合の対処法についての指示書を読むことを提案した。ホームズ被告側の弁護人は、このような指示は強制的と見られる可能性があるとして反対したが、判事は指示書を配布した。判事はまた、有罪が証明されるまでホームズ被告が無罪と推定されることを陪審団に念押しした。4時間後、陪審団は、3件の容疑について全員一致の評決に至ることができなかったというメモを再度提出した。その直後、他の8つの罪状についての評決が出された。

著名なホワイトカラー裁判で、審議がこれほど長引くのは予想外ではない。Ghislaine Maxwell(ギスレーヌ・マックスウェル)の4週間にわたる直近の裁判では、陪審団は5日間審議し、6件の容疑のうち5件つについて有罪とした。2007年、元報道界の大物Conrad Black(コンラッド・ブラック)は、14週間にわたる裁判の12日間の陪審団審議の末、詐欺罪で有罪になった。

この裁判の評決は、テック系の創業者たちに、自社の技術について嘘をつくことは許されない、特にそれが実際の人々の健康に影響を与える場合はなおさらだ、というメッセージを送るものだ。しかし、患者を欺くことに関する訴えが無罪とされたことは、複雑なメッセージだ。それ以上に、この事件は、投資家やスタートアップと協業するパートナーにとって、デューデリジェンスがいかに重要であるかを示した。注目すべきは、Theranosの投資家が、通常疑われるようなベンチャーキャピタル企業ではなかったことだ。むしろ、前教育長官のBetsy DeVos(ベッツィ・デボス)氏、億万長者のメディア王ルパート・マードック氏、前国務長官のHenry Kissinger(ヘンリー・キッシンジャー)氏、ウォルトン家など、裕福なエリートたちがホームズ被告の資金源となっていた。これらの投資家は、ホームズ被告がより突っ込んだ質問から逃れても、Theranosに資金を提供する意思があったことを示す証拠もある。

しかし、投資家たちのホームズ被告に対する誤った信頼だけが、欠陥のあるTheranosの技術を前進させたのではない。Theranosや他の診断会社は、FDAの承認を受けていない機器が市場に出回ることを可能にする規制の抜け穴を利用していた。

ホームズ被告の評決言い渡し日はまだ決まっていない。検察は米国時間1月3日、ホームズ被告の勾留を求めないが、政府は同被告の保釈金を確保するために現金か財産のいずれかを望んでいる、と述べた。

Theranosはまだ過去のものではない。バルワニ被告は2023年に自身に対する詐欺罪の刑事裁判を控えている。

画像クレジット:Justin Sullivan / Getty Images

原文へ

(文:Amanda Silberling、翻訳:Nariko Mizoguchi

2021年に知ることになったサイバーセキュリティの6つのポイント

この12カ月間におけるサイバーセキュリティは、暴れ馬のようだった。サイバーセキュリティで何もかもが壊れ、あとはそのことを認めるだけとなり、そして今年、2021年は、特に年末にかけて何もかもが一度に壊れた。しかし、何はともあれ、私たちはこれまで以上に多くのことを知り、この年を終えることになる。

この1年で、私たちは何を学んだのだろうか。

1.ランサムウェアの被害で大きいのはダウンタイムであり身代金ではない

ファイルを暗号化するマルウェアの被害が続いている。2021年だけでもランサムウェアは町全体にオフラインを強いることになり、給与の支払いをブロックし、燃料不足を招いた。企業のネットワークの全体が、数百万ドル(数億円)の暗号資産と引き換えに人質に取られたからだ。米財務省の推計では、ランサムウェアの2021年の被害額は、これまでの10年を合わせた金額よりも多い。しかし研究者たちによると、企業の被害の大半は、生産性の落ち込みと被害後の困難な後始末作業によるものだ。後者には、インシデント対応や法的サポートも含まれる。

関連記事:ランサムウェアが企業に与える莫大な金銭的被害は身代金だけじゃない

2.FTCはモバイルのスパイウェアメーカーに被害者の通知を命じることができる

SpyFoneは、2021年9月の連邦取引委員会(FTC)からの命令により米国で禁止される初めてのスパイウェアになった。FTCはこの「ストーカーウェア」アプリのメーカーを、人目につかない秘かなマルウェアを開発し、ストーカーや米国ないの悪意を持つ者が、被害者のスマートフォンのメッセージや位置情報の履歴などを知られることなくリアルタイムでアクセスできるようにしたと訴えた。さらにFTCはSpyFoneに、同社が不法に集めたデータをすべて削除し、同社のソフトウェアによってスマートフォンをハックされた人たちに通知することを命じている。

関連記事:米連邦取引委員会がスパイウェアSpyFoneを禁止措置に、ハッキングされた被害者に通知するよう命令

3.サイバーセキュリティへのVCの投資は2020年に比べて倍増

2021年はサイバーセキュリティへのVCの投資が、記録破りの年だった。8月には、投資家たちが2021年の前半に115億ドル(約1兆3242億円)のベンチャー資金を投じたことが明らかとなっている。これは2020年の同時期に投じられた47億ドル(約5412億円)の倍以上の額となる。最大の調達はTransmit Securityの5億4300万ドル(約625億円)のシリーズAと、Laceworkの5億2500万ドル(約605億円)のシリーズDだった。投資家たちは、クラウドコンピューティングとセキュリティのコンサルティング、およびリスクとコンプライアンス方面の好調が投資に火をつけたという。

関連記事
パスワードのない世界を目指すTransmit Securityがサイバーセキュリティ史上最大のシリーズAで約601億円調達
クラウドセキュリティのLaceworkが2年連続収益300%増で約545.7億円のシリーズD投資調達

ハイテク企業がユーザーデータの最大の保有者であることは周知の事実であり、意外にも、犯罪捜査のための情報を求める政府のデータ要求の頻繁な対象になっている。しかし、Microsoftは2021年、政府が検索令状に秘密命令を添付する傾向が強まっていることを警告し、ユーザーのデータが調査の対象となる時期をユーザーに通知しないようにしている。

関連記事:米政府による顧客データ要求の3分の1が秘密保持命令をともなう、マイクロソフト幹部が乱用に警鐘

Microsoftによると、法的命令の3分の1は秘密保持条項付きで、その多くは「意味のある法的分析や事実分析に裏づけられていない」と、同社の顧客セキュリティー・トラストの責任者Tom Burt(トム・バート)氏はいう。Microsoftは、秘密保持命令は技術産業全体に蔓延していると述べている。

5.FBIはサイバー攻撃の後処理の一環として、プライベートネットワークへのハッキングを許される

2021年4月にFBIは、この種の操作としては初めてハッカーが数週間前に放置した米国の数百に及ぶ企業のメールサーバーにあるバックドアの削除を開始した。MicrosoftのメールソフトウェアであるExchangeの脆弱性を大規模に悪用して、ハッカーが米国全域の何千ものメールサーバーを攻撃し、連絡先リストと受信箱を盗んだ。非難されているのは中国だ。その犯行により数千のサーバーが脆弱性を抱えたままであり、企業は緊急に欠陥を修復すべきだが、しかしパッチは残されたバックドアを削除しないので、ハッカーが戻ってきて容易にアクセスを取得できる。

関連記事:中国の国家ハッカーがExchange Serverの脆弱性をゼロデイ攻撃、マイクロソフトが警告

テキサス州の連邦裁判所が操作を許可し、FBIはハッカーが使ったのと同じ脆弱性を利用してバックドアを削除した。裁判所による操作許可の根拠は、今後の再犯への恐れだ。それにより、悪人たちによる今後の悪用を防いだ。同様の「ハックとパッチ」操作でボットネットを駆除した国は他にもあるが、サイバー攻撃の後でFBIがプライベートネットワークを効果的に掃除したのは、知られているかぎり、これが初めてだ。

6.詐欺師たちが自動車保険のサイトを襲って失業手当を詐取

2021年は複数の保険企業が、ありえないがますます普通になってきた詐欺のターゲットになった。Metromileによると、保険の見積もりを保存する同社のウェブサイトにバグがあり、運転免許証の番号が盗まれた。そして数カ月後には、Geicoもターゲットになり、同じく運転免許証の番号を盗み取られている。

関連記事
米自動車保険スタートアップMetromileがウェブサイトに侵入者が運転免許証番号を取得できるバグがあったと報告
米国2位の自動車保険大手Geicoが数カ月にわたりウェブサイトから運転免許証番号を盗まれていたと認める

Geicoのデータ侵犯報告は、盗んだ免許証番号を使って、ユーザーの名前で「失業手当を申請した」詐欺師たちを非難した。米国の多くの州では、州の失業手当を申請する前に運転免許証を必要となる。自動車保険会社ならその番号がわかるので、ターゲットにされたのだ。

画像クレジット:Getty Images

原文へ

(文:Zack Whittaker、翻訳:Hiroshi Iwatani)

ジャスティン・カン氏の新NFTプラットフォーム、詐欺師にユーザーの資金約1700万円を奪われる

ベンチャーキャピタルが数十億ドル(数千億円)の投資を行っているにもかかわらず、多くのWeb3.0暗号資産プラットフォームは、暗号の世界に慣れていないユーザーにとって、いまだに非友好的な場所である。

その適例を上げると、米国時間12月21日、Justin Kan(ジャスティン・カン)氏が運営するNFT(非代替性トークン)プラットフォームのFractal(フラクタル)で、セキュリティ侵害が発生した。

詐欺師が同社のDiscord(ディスコード)用告知ボットをハッキングし、10万人以上のユーザーに不正なリンクを送信して、新しいNFTを購入するためにお金を払うよう促したのだ。このメッセージは、Fractalの成功を記念して作成された3333個の記念NFTが入手できるとユーザーに約束する内容だったが、リンク先のfractal.isのURLは「i」と「l」を入れ替えて偽装されており、ユーザーはあるミンティングサイトに誘導されて資金を奪われ、何の見返りも得られなかった。

Zach Bussey

@justinkanの@fractalwagmiは順調に進んでいますが……。

同社の実際のDiscord Botがハッキングされ、3333のNFTを1Solana(約2万円相当)でミントするよう人々に勧めています。

しかし、リンク先はFractalではなくFractaiです…。3294個で合計60万ドル(約6800万円)近くが失われました。

その結果、詐欺師は実際に約15万ドル(約1700万円)を持ち逃げしたようだ。このハッキングは、Fractalが今週予定していたプラットフォームの起ち上げ前に行われた。カン氏のファンドであるGOAT Capital(ゴート・キャピタル)が支援しているこのスタートアップ企業は、すでにユーザーへの返金を約束しており「もしSolを失ったのなら、私たちが補償します。近々、さらなるアップデートを発表します」とツイートしている。

ちなみに、このような攻撃は特に珍しいものではない。Monkey Kingdom(モンキー・キングダム)と呼ばれるSolanaをベースにしたプロジェクトも、その数時間前にハッキングされて、130万ドル(約1億4800万円)以上の価値に相当する暗号資産が盗まれている。これら2つの攻撃がどちらもDiscord上で行われたことから、このチャットプラットフォームにもユーザーの認証に関して問題があることがわかる。

更新:火曜日の午後、FractalはMedium(ミディアム)への投稿で、373人のユーザーが詐欺の被害に遭ったことを確認したが、数日中に同プラットフォームから完全に補償されると述べている。SolanaベースのツールプラットフォームであるGrape Protocol(グレープ・プロトコル)は、管理者の1人がハッキングされたことを確認しており、これが今回のFractalとMonkey Kingdomの両方で悪用に使われたと思われる。

Grape Protocol

7日前に当社のセットアップ管理者の1人がハッキングされていたことが判明しました。

確実にこれは@fractalwagmiと@monkeykingdom_に影響を与えています。

ハッカーたちはDiscordのWebhookを悪用しています。

すぐにwebhookを確認してください。

詳細が分かり次第、更新します。

Fractalは、すでに他のNFTを中心とした多くのDiscordプロジェクトを悩ませているこのような攻撃が、可能性は高くないとしても、起こり得ることだと認識していたようだ。米国時間12月17日にFractalチームは、Discordに「詐欺対策」チャンネルを設け、ユーザーが悪質な行為者を警告できるようにしている。チームメンバーは、Fractalが「いかなるアドレスにも資金を送るように要求することは決してありませんし、記入を求めるGoogle(グーグル)フォームも一切ありません」と強調し、さらにユーザーに「目にしたリンクのスペルを再確認してください」と注意を促した。

Fractalのチームは、ユーザーを正しい方向に導こうとしていたようだが、より広範な問題は、NFT市場の根本的な誘引構造にある。発売されるNFTはすぐに売り切れてしまうため、ユーザーが懐疑的に関与することを妨げる傾向があるのだ。この世界にはあるゆるチャンスを掴もうとする文化があり、経験の浅い暗号資産購入者にとっては危険だ。

Fractal

SOLの最大級のエアドロップに取り組んでいます。

歴史を作ります。

画像クレジット:Fractal

原文へ

(文:Lucas Matney、翻訳:Hirokazu Kusakabe)

Meta、同社プラットフォームでフィッシング詐欺を行う個人摘発のため連邦政府に提訴

Meta(旧Facebook)は米国時間12月20日、フィッシング詐欺を行っている個人を摘発するために、カリフォルニア州の連邦裁判所に訴訟を起こしたと発表した。同社によると、今回の法的措置は、Facebook(フェイスブック)、Messenger(メッセンジャー)、Instagram(インスタグラム)、WhatsApp(ワッツアップ)の偽ログインページでログイン認証情報を共有するように仕向けるフィッシング攻撃を途絶させることを目的としている。

フィッシング詐欺は、一見すると正規に見えるが実際には偽のウェブサイトに無防備な被害者を誘い込む。そして、パスワードや電子メールアドレスなどのセンシティブな情報を入力するよう、被害者を説得する。Metaによると、フィッシング詐欺の一環としてFacebook、Messenger、Instagram、WhatsAppのログインページになりすましているウェブサイトが3万9000以上見つかっているという。また、フィッシング攻撃の報告は増加傾向にあり、これらの攻撃に対して法的措置を取るために今回の提訴に至ったとしている。

Metaのプラットフォーム執行・訴訟担当ディレクターのJessica Romero(ジェシカ・ロメロ)氏は「これらのウェブサイト上で人々はユーザー名とパスワードを入力するよう促され、被告らはそれを収集しました」とブログ記事で書いている。「攻撃の一環として、被告らは攻撃インフラを見えなくするよう、インターネットトラフィックをフィッシングウェブサイトにリダイレクトするためにリレーサービスを使用しました。これにより、フィッシング・ウェブサイトの本当の場所、そしてオンラインホスティングプロバイダーと被告の身元を隠すことができたのです」。

ロメロ氏によると、3月にMetaはリレーサービスと協力して、フィッシングウェブサイトをホストしていた数千のURLを停止する作業を開始した。Metaは、今後もオンラインサービスプロバイダーと協力して、フィッシング攻撃を妨害する計画だ。また、セキュリティコミュニティやドメイン名レジストラなどに対して、悪用例を積極的にブロックするよう働きかけているともしている。また、他のプラットフォームでもブロックできるよう、フィッシングのURLを共有しているという。

「この訴訟は、人々の安全とプライバシーを保護し、我々のプラットフォームを悪用しようとする人々に明確なメッセージを送り、技術を悪用する人々の説明責任を高めるための、我々の継続的な取り組みにおけるさらなるステップです」とロメロ氏はブログ記事で書いた。

Metaが同社のプラットフォームでフィッシング詐欺を取り締まるのは、今回の訴訟が初めてではない。同社は11月、シリアとパキスタンの4つのハッカーグループに対して措置を講じたことを明らかにした。これらのグループは、フィッシングリンクを使ってユーザーを操作し、Facebookの認証情報を得ていた。2021年3月にはMetaは、中国の「Earth Empusa」または「Evil Eye」と呼ばれるハッカー集団にも措置を取った。当時Facebookという社名だったMetaは、ハッカーが同社のインフラを使用してプラットフォームを悪用する能力を崩壊させたと述べた。同社はまた、2020年にバングラデシュとベトナムのハッカーに対して同様の措置を取った

画像クレジット:Bryce Durbin / TechCrunch

原文へ

(文:Aisha Malik、翻訳:Nariko Mizoguchi

オンライン小売業者の偽チャージバック対策をAIで支援するJusttが計80億円を調達して登場

チャージバック軽減に取り組むテルアビブ拠点のスタートアップJustt(ジャスト)は現地時間11月16日、総額7000万ドル(約80億円)となる資金調達でステルス状態から登場した。

2020年2月にRoenen Ben-Ami(ロエネン・ベン・アミ)氏とOfir Tahor(オフィール・タホール)氏によって創業されたJusttは、オンライン小売業者に代わってチャージバック異議を完全に自動化する、と話す。同社は最近、コネチカット州グリニッジを拠点とするOak HC/FTがリードしたシリーズBラウンドで5000万ドル(約57億円)を調達した。このラウンドは、2月にZeev Venturesがリードした1500万ドル(約17億円)、2020年11月にF2 Venture Capitalがリードした500万ドル(約5億7000万円)の資金調達ラウンドに続くものだ。Justtの戦略的個人投資家には、PayPalの元社長David Marcus(デイビッド・マーカス)氏、Square Capitalの元代表Jacqueline Reses(ジャックリーン・ローズス)氏、DoorDashの幹部Gokul Rajaram(ゴクル・ラジャラム)氏などがいる。

以前AcroChargeという社名だったJusttは、年間経常収益(ARR)が2020年9月に比べて900%増加していると話す。従業員数は1年前の3人から110人超に増加している。同社は、シリーズBでの評価額については明らかにしなかった。

知らない人のために説明すると、チャージバックとは、クレジットカード会社が小売業者に対して、不正な取引や問題のある取引の損失を補填するよう要求することだ。Justtは、自社開発した人工知能を用いて、世界中の小売業者が偽のチャージバックに対処できるようにすることを目指している。

偽のチャージバックは「フレンドリー詐欺」とも呼ばれ、消費者がクレジットカードやデビットカードへの請求に不正に異議を唱えることで、金融機関が支払いをキャンセルし、小売業者が損失を被る。JusttのAI駆動の技術は、不正なチャージバックにフラグを立てるように設計されている。不正なチャージバックは通常、異議の85%以上を占め、年間1250億ドル(約14兆円)超の損失につながっているとJusttは話す。同社は、カードプロセッサーを統合している各小売業者に合わせたシステムを構築し、不正なチャージバック請求を否定する証拠を収集してその情報を小売業者に代わってクレジットカード会社に提出する。

最終的には、フィンテックのユニコーン企業Melioや、ブロックチェーンベースの決済会社Wyreなど、大企業を中心とした企業の社内チャージバック軽減プログラムに置き換わることを目指している。Justtは顧客のために月に1万件以上のチャージバックを処理している。

「チャージバックシステムは基本的に不正なものですが、多くの業者はその損失を単にビジネスのコストと捉えています。Justtではもっと良い方法があると信じています。eコマースの販売業者は、この古めかしいシステムを乗り越えるために誰かの助けを必要としているのです」とCEOで共同創業者のタホール氏は話した。

タホール氏は、Chargehound、Chargeback.com、Midigatorなど同業他社と自社は異なると考えている。これらの企業は技術的ツールを提供しているが「それでも顧客はテンプレートの作成や証拠の収集に必要な専門知識を備えた社内チームを維持する必要がある」。

「これらのシステムは、最適化と成功率の向上を顧客のチームに依存しており、Justtのようなフルサービスのソリューションは提供していません」とタホール氏は指摘する。

他の競合他社はフルサービスを提供しているが、顧客のチャージバック処理を支援するためにオフショアチームを使って証拠作成を手作業で管理していると同氏は主張する。

「技術的な要素がないため、オフショアチームは一般的なテンプレートに頼ってしまい、パフォーマンスの低下を招いています」。

同氏によると、Justtは調査チームが小売業者の精算プロセス、利用規約、確認メール、チャージバック理由コードなどを分析し、よりカスタマイズされたサービスを提供する点が異なるという。

同社のビジネスモデルは、潜在的な顧客のリスクを最小限に抑えるように設計されている。顧客の売上が回収されない限り、顧客には何の請求もない。

「我々のビジネスモデルはすべて成功に基づいています。統合費用や案件ごとの費用は一切ありません。当社が手数料を請求するのは、小売業者が取引詐欺の減少によって実際に節約できた場合のみです」とタホール氏はTechCrunchに語った。

Justtが設立されたのは、パンデミックによってオンライン取引が急増し、それにともなって不正なチャージバック行為が急増した時期だった。

「それ以来、当社のソリューションに対する需要はうなぎのぼりです。これは、オンラインビジネスやオンライン取引の一般的な成長と、経済的圧力、サプライチェーンの問題、配達遅延など特定のプレッシャーによって引き起こされたもので、不正取引の取り消しの増加に拍車をかけています」とタホール氏は話した。

同社は、新たに得た資金を製品開発、販売、マーケティングに「重点的」に投資する予定で、ここには販売とマーケティングの業務を米国と欧州に拡大することも含まれている。また、2022年にはイスラエルの研究開発部門の人員を3倍に増やすことも予定している。

タホール氏は「今回の資金調達により、ニューヨーク市に米国本社を設置し、西海岸のオフィス開設の準備を行うなど、北米市場への積極的な進出を計画しています。また、市場機会に応じて、欧州地域へのサービス提供にも投資していきます」と述べた。

Oak HC/FTのパートナーMatt Streisfeld(マット・ストリスフェルド)氏によると、Justtでは取引後に発生する不正なチャージバックによって失われた60〜80%の収益を取り戻すことができる。

eコマースブームでは不正チャージバックによる企業のリスクが高まっているにもかかわらず、不正なチャージバックを特定して追跡し、異議を唱え、失われた収益を回収するシステムを導入しているブランドはほとんどない、とストリスフェルド氏は指摘する。

「ほとんどのブランドは、これらの損失を単に帳消しにしています。これは持続不可能でコストのかかるアプローチであり、小売業者が新たな方法を模索する中で、Justtは今後5年間で記録的な普及を遂げるはずです」と同氏は電子メールに書いた。

画像クレジット:Justt

原文へ

(文:Mary Ann Azevedo、翻訳:Nariko Mizoguchi

タップやスワイプを行動分析し詐欺・不正行為と闘うNeuro-IDがシリーズBで約40億円調達

私たちの生活の大部分はデジタル体験を中心に成り立っており、企業はコンバージョンを促進したり、詐欺スクリーニングを最適化する方法をますます模索している。米国時間11月4日、リアルタイムの行動分析ツールを構築したスタートアップが自社サービスへの需要の高まりを受けて、資金調達を発表した。

デジタル企業がデジタル顧客の意図を理解し、顧客との摩擦の根本原因を特定するために、大規模なスケールでリアルタイムの顧客行動を捉える分析プラットフォームを提供するNeuro-IDは、シリーズBラウンドとして3500万ドル(約39億8000万円)を獲得した。

今回の新たな資本は、2020年12月に調達した700万ドル(約8億円)のシリーズAに続くもので、2014年の設立以来、同社の累計調達額は4950万ドル(約56億3000万円)に達した。

今回のラウンドはCanapi Venturesがリードし、既存の投資家であり共同でシリーズAを主導したFin VCとTTV Capitalがそれに加わった。

Neuro-IDは評価額を公表していないが、CEOのJack Alton(ジャック・アルトン)氏は、メールで「強い顧客の牽引力」を背景にしたものだと述べている。

「Neuro-IDは、2021年には売上高、顧客数ともに3~4倍の成長が見込まれています」と同氏は付け加えた。「これは、顧客数と収益が3~4倍に増加し、モニターされたカスタマージャーニーが500%増加した、当社にとって大きな拡大の年に続くものです」とも。

Neuro-IDのヒューマンアナリティクスダッシュボード(画像クレジット:Neuro-ID)

同社の顧客リストには、Intuit(インテュイット)、Square(スクエア)、Affirm(アファーム)、OppFi、Elephant Insuranceなどが名を連ねており、Neuro-IDが独自に開発したHuman Analyticsソフトウェアを使用して、スワイプやタップによるユーザーの行動のすべてを実用的なインサイトに変換している。

この行動分析により、顧客は行動データを見て、既存のAI / MLモデルを最適化するために利用することもできる。顧客は平均して、コンバージョンを200%向上させ、過去の不正率を35%低減させることができたという。

アルトン氏は、今回の資金調達を、エンジニアリング人材の追加採用、製品主導の成長の加速、グローバルな事業拡大に充てる予定だ。過去1年間で、同社の社員数は約3倍に増え、現在は60名になっているという。

Canapi VenturesのパートナーであるWalker Forehand(ウォーカー・フォアハンド)氏は、メールで次のように述べている。「Neuro-IDは、ユーザーの意図や体験を分析するためのワンストップショップであり、新規顧客を分析する独自の機能を備えていることで、リピート顧客との対話に重点を置く他社との差別化を図っている」とのこと。

シームレスなカスタマージャーニーを実現することは、フィンテック企業にとっても銀行にとっても優先事項であり、フォアハンド氏は、デジタルジャーニーを開始してから完了する人はわずか10%未満であると述べている。また、従来のモデルでは、住所や生年月日などの物理的な属性を用いて認証を行っているが、Neuro-IDでは他の方法で顧客が本物か不正かを識別する。

フォアハンド氏はこうも述べている。「顧客の行動を大規模に把握するこの新しい見解は、詐欺を減らしつつ、優良顧客を早期に獲得してより多くの収益を上げるためのコンバージョンの改善、意図の測定の高度化、デジタル製品の設計品質の向上などの可能性を広げます。最もエキサイティングなのは、Neuro-IDの技術はフィンテックや銀行に適用できるだけでなく、大量のデジタルおよび自動意思決定に対応するあらゆる業界がNeuro-IDの顧客になりうるということです」。

画像クレジット:Neuro-ID

原文へ

(文:Christine Hall、翻訳:Aya Nakazato)

アップルがユーザーによる悪質なアプリや詐欺行為の報告を簡単に

The Vergeによると、App Storeのトップアプリのかなりの割合が詐欺であることが明らかになった報道を受けて、Apple(アップル)はユーザーがそのような行為を報告できるようにしているという。iOS 15の一環として、最新のApp Storeアップデートでは、無料、アプリ内課金(IAP)、有料のいずれのアプリについても、問題のアプリをインストールしていれば「詐欺や不正行為を報告」できるようになっている。

Kosta Eleftheriou(コスタ・エレフテリウ)氏とRichard Mazkewich(リチャード・マズケウィッチ)氏のTwitterでの詳細によると、この機能は、従来の「問題を報告」機能よりもさらに踏み込んだものとなっている。これまでのように「疑わしい活動を報告する」「品質問題を報告する」「返金を要求する」「自分のコンテンツを探す」だけではなく、詐欺や不正行為を知らせることができるようになった。以前は、詐欺や不正行為を強調する前に、アプリ内での購入も必要だったが、それも必要なくなっている。

The Vergeが指摘したように「問題を報告」機能自体は数年ぶりに個々のアプリのリストに戻ってきた。以前は「アプリ」や「ゲーム」タブの下部にあり、報告する際には別のウェブサイトに送られていた。

Appleは、2021年6月に新しいApp Store Reviewガイドラインを発表した際に、この変更を実質的に予見していた。いくつかのセクションでは、Appleが不正行為や詐欺、開発者の不正行為に対してより厳しい姿勢で臨むという変更が含まれていたと当時TechCrunchは指摘していた。

関連記事:アップルが詐欺撲滅を目指してApp Storeガイドラインを改訂

2021年初めにWashington Postが明らかにしたところによると、App Storeで発見された悪質なアプリには、顧客を騙して不要なソフトウェアを購入させるVPN、悪質な出会い系アプリ、QRリーダー、主要ブランドを詐称したアプリなどが含まれていた。同紙の推定によると、これらのアプリは、ユーザーから推定4800万ドル(約53億円)を詐取した可能性があるという。

編集部注:この記事の初出はEngadget。執筆者のSteve DentはEngadgetのアソシエイトエディター。

画像クレジット:TechCrunch

原文へ

(文:Steve Dent、翻訳:Yuta Kaminishi)

米連邦通信委員会がSIMスワップ詐欺に対抗する新規則を提案

ここ2、3年で、SIMスワップ詐欺の被害が増加している。最近はほとんどのオンラインサービスが電話番号に関連付けられているため、この手法は被害者の生活を破壊するおそれがある。現在、Federal Communications Commission(米連邦通信委員会)は、SIMスワップ詐欺やポートアウト詐欺など、電話番号や個人情報を乗っ取る手口を防止するための新たな規則を制定しようとしている

同委員会によると、これらの乗っ取り手法によって「重大な苦痛、不便、経済的被害を受けた」消費者から多数の苦情が寄せられているという。SIMスワップとは、悪質な行為者が無線通信事業者を騙して、被害者のサービスを自分が保有する携帯電話に移す手法だ。悪質な行為者が被害者のサービスと番号を別の通信事業者に移すことに成功した場合、それはポートアウト詐欺と呼ばれる。

詐欺師が標的とする被害者の電話番号の支配権を得ることを難しくするために、FCCはCPNI(Customer Proprietary Network Information、顧客に関する専属的ネットワーク情報)とLocal Number Portability(地域電話番号ポータビリティ)の規則を改正しようとしている。具体的には、顧客が新しい電話機に機種変更したり、他の通信事業者へサービス移管することに同意する前に、より安全な方法で本人確認を行うことを事業者に求めるというものだ。また、SIMカードの移行や別の通信事業者への移転の要請が、顧客のアカウントで行われた場合、プロバイダーは顧客に通知して確認を取ることを義務付ける規則も提案している。

FCCの規則制定プロセスの一環として、現在これらの提案に対して一般市民がコメントできるようになっている。連邦通信委員会は、これらの提案を読んだ上で、一般市民が声を届けることができる機会を再度提供してから、前述の規則を改正するかどうかを決定しなければならない。

編集部注:本記事の初出はEngadget。執筆者のMariella Moonは、Engadgetの編集委員。

画像クレジット:Luciano Belviso Flickr under a CC BY 2.0 license.

原文へ

(文:Mariella Moon、翻訳:Hirokazu Kusakabe)

広告詐欺などアドフラウドの対策ツール「Spider AF」を提供するSpider Labsが約5.5億円のシリーズB調達

広告詐欺などアドフラウドの対策ツール「Spider AF」を提供するSpider Labsが約5.5億円のシリーズB調達

広告詐欺・不正広告といったアドフラウドへの対策ツール「Spider AF」(スパイダーエーエフ)を提供するSpider Labs(スパイダーラボズ。旧Phybbit)は9月29日、総額約5億5000万円となる第三者割当増資をシリーズBラウンドにおいて実施したと発表した。引受先はHeadline Asia、三菱UFJキャピタル、Darwin Venture Management、Golden Asia Fund。調達した資金によりSpider AFの事業拡大を行ない、インターネット上における不正を撲滅し社会課題の解決を目指すとしている。

Spider Labsは2011年に設立された日本発のサイバーセキュリティカンパニー。Spider AFをメインサービスとしており、信頼性の高いアドフラウド対策を提供している。デジタル広告業界の信頼性を高める世界最高水準の認証機関「Trustworthy Accountability Group」(TAG)の不正防止部門から、日本およびAPACで初めて認証を取得している。

SpiderAFは、不正な手法によって広告のインプレッションやクリック、コンバージョンを水増しして広告報酬を詐取するアドフラウド(広告詐欺)の対策ツール。誰にでも手軽にアドフラウド対策が行なえるよう、自動化と非属人化に特化しているという。無駄な広告トラフィックを排除する機能を持っており、2018年12年には複数事業者でブラックリストを共有する「SHARED BLACKLIST」(シェアードブラックリスト)を日本で初めて提供を開始したとのこと。

巧妙化する金融犯罪と戦うAIベースのビッグデータ分析ツール開発Quantexaが約168億円を調達

金融犯罪の巧妙化が進むにつれて、それと戦うために使用されるツールも高度化している。Quantexaは、マネーロンダリングや詐欺などの違法行為を検知して阻止するAIベースのソリューションを開発してきた興味深いスタートアップだが、このほど1億5300万ドル(約168億円)の成長ラウンドを獲得した。この資金調達は、金融分野での事業拡大の継続と、同社のツールをより広範なコンテキストに展開すること、つまりすべての顧客データとその他のデータを取り巻く点を結びつけていくことに充てられる。

「当社は金融サービスに止まらない多様化を進めており、政府機関や、ヘルスケア、電気通信、保険業界と協働しています」と創業者兼CEOのVishal Marria(ヴィシャール・マルリア)氏はインタビューで語った。「そのことは非常に大きな意義を醸成しています。より大規模なデジタル変革の一環として、市場がコンテキストに基づく意思決定インテリジェンスに取り組んできたことを考えると、その流れは必然的なものでした」。

このシリーズDでは、ロンドンに拠点を置く同スタートアップの価値は8億〜9億ドル(約880億~990億円)と評価されている。これはQuantexaが2020年、サブスクリプション収入を108%成長させたことに続くものだ。

Warburg Pincusがこのラウンドを主導し、既存の支援者であるDawn Capital、AlbionVC、Evolution Equity Partners(サイバーセキュリティ専門のVC)、HSBC、ABN AMRO Ventures、British Patient Capitalも参加した。2020年7月のシリーズCでのQuantexaの評価額は、2億〜3億ドル(約220億~330億円)の間だった。これまでの調達総額は2億4000万ドル(約264億円)になる。

マルリア氏はErnst & Youngでディレクターを務め、マネーロンダリングなどの不正行為への対策についてクライアントを支援する役割を担っていた。Quantexaは、マルリア氏がそのときに特定した市場のギャップを出発点としている。同氏が認識したのは、潜在的な詐欺、マネーロンダリングなどの違法行為に関する有意義なインサイトを迅速かつ正確に得ることができる、真に有用なシステムが市場に存在しないということだった。企業の内部情報と外部公開データの照合・解析を通じて、利用可能なデータの世界を効率的に活用する、インサイトの導出に必要なツールが整備されていなかった。

Quantexaの機械学習システムは、この課題に対して典型的なビッグデータの問題としてアプローチしている。人間が自分で解析するにはデータが多すぎるが、特定の目的のために大量のデータを処理できるAIアルゴリズムにとっては小さな仕事だ。

Quantexaのいわゆる「Contextual Decision Intelligence(コンテキストに基づく意思決定インテリジェンス)」モデル(Quantexaという名前は「quantum」と「context」を想起することを意図している)は当初、金融サービス向けに特化して開発された。リスクとコンプライアンスの評価と金融犯罪行為の特定を行うAIツールを用いて、Quantexaが有するAccenture、Deloitte、Microsoft、Googleといったパートナーとのリレーションシップを活用し、より多くのデータギャップを埋めていくものだ。

同社のソフトウェア(データではなくこのソフトウェアが企業に販売され、企業独自のデータセットに使用される)は、単一のエンゲージメントで最大600億件のレコードを処理した実績があるという。処理を経た後、ユーザーが異なるエンティティ間の関係などをよりよく理解できるように、わかりやすいグラフやその他の形式でインサイトが提示される。

マルリア氏によると、現在、同社の事業の約60%を金融サービス企業が占めており、顧客には英国とオーストラリアの銀行上位10行のうち7行、北米の金融機関上位14行のうち6行が含まれているという。(このリストには、戦略的な支援を行うHSBCの他、Standard Chartered BankとDanske Bankも名を連ねている)。

しかし同時に、Quantexaの他のセクターへの進出は一層顕著な伸びを見せている。より広範なデータセットに大きく依存するようになった市場の大幅なシフト、近年における各企業のシステム更新、そして過去1年間でオンラインアクティビティが「唯一の」活動になることが多くなったという事実がそれを加速させている。

「(2007年の)金融危機は、金融サービス企業がよりプロアクティブになるための転換点でした。そして、パンデミックは、ヘルスケアなどの他のセクターがよりプロアクティブになる方法を模索する転換点となっています」とマルリア氏はいう。「その実現には、より多くのデータとインサイトが必要です」。

そのため、Quantexaは特にこの1年で、ヘルスケア、保険、政府機関(例えば税務コンプライアンス)、電気通信 / 通信手段など、金融犯罪に直面している他のバーティカルへの拡張を進めてきた。加えて、KYC(顧客確認)コンプライアンスに向けたより完全な顧客プロファイルの構築、カスタマイズされた製品の提供など、さらに多くのユースケースをカバーするための多様化を続けている。政府機関と協働し、人身売買の追跡や特定のような、違法行為の他の分野にも同社のソフトウェアが適用される見通しだ。

Quantexaは、70にわたる市場に「数千」もの顧客を抱えている。金融犯罪とより全般的なKYCの両方を含むこの種のサービスの市場規模は、年間約1140億ドル(約12兆6000億円)に上るとのIDCの予測を、Quantexaは引き合いに出している。

「Quantexaが独自に開発した技術により、クライアントは個人や組織の単一のビューを生成して、グラフネットワーク解析で可視化し、最先端のAI技術でスケールすることができます」とWarburg Pincusのヨーロッパ共同責任者であるAdarsh Sarma(アダーシュ・サルマ)医学博士は声明で述べている。「このケイパビリティはすでに、世界最大の金融機関や政府機関によるKYC、AML(マネーロンダリング対策)、不正行為プロセスの運営方法に革命的な変化をもたらしており、業界における重要性を増しつつある大きなギャップに対処しています。これまでの同社の目覚ましい成長は、利用可能な市場全体における計り知れない価値の提案と、新規セクターや地域への継続的な拡大を反映しています」。

興味深いことに、同社は大手テック企業などから買収のターゲットとしてアプローチを受けていることを、マルリア氏は筆者に認めた。それほど驚くことではない。しかし、長期的には、マルリア氏の視野の先には自立した未来があり、Quantexaが独自の成長を続けることを念頭に置いているという。

「確かに、大手テック企業などに買収されることは十分あり得ますが、私はIPOに向けて準備を進めています」とマルリア氏は語った。

画像クレジット:piranka / Getty Images

原文へ

(文:Ingrid Lunden、翻訳:Dragonfly)

米SECと司法省がモバイルアプリのテスト会社HeadSpin創業者を投資家への虚偽情報提供で起訴

左からHeadspinの創業者であるラクワニ氏とコーウェル氏(画像クレジット:Headspin)

米司法省と米証券取引委員会(SEC)は米国時間8月25日、モバイルアプリのテスト会社HeadSpin(ヘッドスピン)の共同創業者であるManish Lachwani(マニシュ・ラクワニ)氏を詐欺罪で起訴した。SECは、同氏が不正行為防止規定に違反したとし、民事罰として、恒久的差止命令、行為に基づく差止命令、企業の役員や取締役としての活動禁止を求めている。

一方、先にラクワニ氏を逮捕した司法省は、同氏を通信詐欺と証券詐欺の各1件で起訴しており、有罪となった場合の刑罰は、通信詐欺で最高20年の懲役と25万ドル(約2750万円)の罰金など、より厳しいものとなっている。また、証券詐欺で有罪となった場合、最高で懲役20年、罰金500万ドル(約5億5000万円)となる。

SECと司法省の双方は、2020年5月まで創業6年目のHeadSpinをCEOとして率いていたラクワニ氏が、シリーズCラウンドを投資家に売り込む際、自身の会社である同社が「顧客獲得と収益創出において強力かつ一貫した成長を達成した」と虚偽の主張を行い、投資家から8000万ドル(約88億円)を詐取したとしている。

SECの説明によると、同氏の捏造は、いわゆるユニコーンとしてのバリュエーションによりラウンドを確実に完了するためのものだった。この見せかけの計画は機能した。パロアルトに本社を置くHeadSpinは2020年2月、Dell Technologies Capital、Iconiq Capital、Tiger Globalから、シリーズCラウンドにおいて11億6000万ドル(約1276億円)のバリュエーションで6000万ドル(約66億円)の資金提供を受けた。その後同社はForbesの取材を受けた。Forbesは当時、同社のバリュエーションが、2018年10月にシリーズBラウンドを完了した際の投資家の評価の2倍だったと報じた。

SECはまた、ラクワニ氏が私腹を肥やそうとしていたとし「HeadSpinの既存の投資家に対し誤った内容を伝えた資金調達ラウンドで、自身のHeadSpin株を250万ドル(約2億7500万円)で売却」することでそれを達成したとしている(SECがシリーズCに言及しているのか、それ以前のラウンドに言及しているのかは、訴状からは明らかではない)。

司法省の連邦訴状によると、ラクワニ氏の策謀の疑いは、少なくとも同社が資金調達を行っていた2019年11月にまで遡る。当時、HeadSpin(アプリやデバイスが世界中のさまざまな環境で動作することを支援していた)の成功に関して、同氏が投資家に対し故意に誤った内容を伝えたとしている。

具体的には「投資家候補に対する資料やプレゼンテーションにおいて、ラクワニ氏は虚偽の収益を報告し、会社の主要な財務指標を誇張していた」と申し立てられた。同氏は、オペレーション、販売、請求書発行を含む記録を管理し、どの収益を計上して会社の財務記録に含めるかについて最終的な決定権を持っていた。

司法省の告発につながった調査の中で、FBIはラクワニ氏が「問い合わせを受けたが契約に至らなかった見込み顧客からの収入、取引を継続しなかった過去の顧客からの収入、既存の顧客に関して大幅に水増しした収入を含めるよう従業員に指示していた複数の例」を発見したという。

合計すると数字にどれほどの乖離があったのだろうか。訴状によると、最終的にラクワニ氏は「投資家に対して、Headspinの年間経常収益を約5100〜5500万ドル(約56〜61億円)過大に評価し、虚偽の情報を提供した」としている。

訴状によると、ラクワニ氏の不正行為は、同社の取締役会が内部調査を行い、HeadSpinのバリュエーションを11億ドル(約1210億円)から3億ドル(約330億円)に引き下げた後に判明した。実際、The Informationは2020年8月、同社がシリーズC株の価値を80%近く引き下げる予定だったと報じている

同紙は当時、ラクワニ氏がすでに別の幹部と交代したと報じていた。LinkedInによると、その人物は、シリーズCラウンドが発表された2020年2月頃、同社にチーフ・セールス・オフィサーとして入社したRajeev Butani(ラジーブ・ブターニ)氏だ。

元ソフトバンク社長で、現在はPalo Alto Networks(パロアルトネットワークス)のCEO兼会長であるNikesh Arora(ニケシュ・アローラ)氏が、当時HeadSpinの取締役として内部調査の指揮を手伝っていたと同紙は伝えている。

SECは調査を継続しているとしている。一方、司法省は発表で「訴状は単に犯罪が行われたと主張するものであり、合理的な疑いを超えて有罪と証明されるまで、すべての被告は無罪と推定される」と述べている。

Forbesによると、ラクワニ氏は、モバイル・クラウド事業をGoogle(グーグル)に売却した後、Yahoo(ヤフー)の共同創業者であるJerry Yang(ジェリー・ヤン)氏から、当時別のスタートアップで働いておりPalantir(パランティア)とQuora(クオラ)でエンジニアだったBrien Colwell(ブライアン・コーウェル)氏を紹介され、HeadSpinを共同で創業した。

コーウェル氏は現在もHeadspinのCTOを務めている。同氏はHeadspinにCTOとして在籍しているが、同社に関するSECや司法省の訴状には名前がない。

また同社自身も、政府の調査に協力しているということだが、起訴されていない。

関連記事
電動トラックメーカーNikolaの創業者ミルトン氏、詐欺容疑で起訴
女優スカーレット・ヨハンソンがディズニーを訴訟、映画「ブラック・ウィドウ」の公開方法で
Amazonが詐欺商法に関わったインフルエンサーらを提訴
原文へ

(文:Connie Loizos、翻訳:Nariko Mizoguchi

半導体不足でメーカーが偽造チップを買わされる被害多発か、詐欺にあった企業が隠すため歯止めかからず

半導体不足でメーカーが偽造チップを買わされる被害多発か、詐欺にあった企業が隠すため歯止めかからず

FILE PHOTO: A researcher plants a semiconductor on an interface board during a research work to design and develop a semiconductor product at Tsinghua Unigroup research centre in Beijing

新型コロナ感染拡大の収束(一時的にしろ)により落ち込んでいた需要が急増したことにより、スマートフォンから自動車まであらゆるメーカーが半導体不足に悩まされています。そんななか、半導体詐欺師が偽造チップを企業に売りさばいているとの報告が公表されています。

IT製品情報サイトTechRepublicによると、半導体詐欺師らは深刻なチップ不足のなか、チップ調達に必死になっている企業らにつけ込んでいるとのことです。

記事執筆時点では、正規のチップを発注してから納品されるまでのリードタイムが半年に及ぶこともあり、自動車メーカーが大量の新車を受注をしてから部品の在庫がないと気づくことも珍しくありません。

そこに目を付けたのが、チップ詐欺業者というわけです。彼らは検索エンジンの広告を使って製品を宣伝し始めているものの、こうした場所は正規のチップメーカーがビジネスを展開するはずがないところです。また詐欺の手口としては、粗悪な半導体や動作しない半導体を出荷したり、チップの代金を前払いさせてから商品を送らず、言い訳して先延ばしにするなど様々です。

企業向けITアナリスト企業Info-Tech ResearchグループのJohn Annand氏いわく「多くの詐欺事件は、買い手が急きょ立ち上げたWebベースのチップ販売業者に資金を出すように迫られ、約束の製品が到着する頃には急いでWebサイトを閉鎖され、救済の可能性を失ってしまうことで発生しています」とのことです。

さらに悪いことに、詐欺に遭ったメーカーの多くは競合他社に知られたくない理由で、騙されたことを公にしようとしません。そのため口コミで偽造品の販売の歯止めが掛らないというわけです。

被害に遭った企業が隠しておきたい第2の理由としては「チップの不正使用を防ぐための知識やサプライチェーンの管理が不十分であることを認めたくない」とのSynopsys社(電子系設計ソフトウェア大手企業)の首席セキュリティ技術者であるMike Borza氏の見解が紹介されています。

巨大なチップ需要に応じて供給量を増やせばいいとも思えますが、そう上手くはいかない模様です。上記のAnnand氏によれば、チップ製造工場の建設には莫大な費用が必要となる上に、完成までに1年半〜2年もかかるとのこと。古い工場に最新設備を導入すれば理論上は生産能力を向上できるものの、やはり費用がかさむとの趣旨が述べられています。

偽造チップの販売は、深刻な結果を招きかねません。上記のBorza氏いわく「特定の条件下で誤った動作をしたり、通常の期待寿命よりも早く永久的な故障を起こしたりする可能性があります。こうした不具合は信頼性や返品の問題を引き起こし、製品メーカーにコストをかけ、顧客の信頼を損ないます」とのこと。金銭的な被害はまだしも、深刻な人的被害が起こらないうちに、対策が講じられるよう願いたいところです。

(Source:TechPublic。Via PhoneArenaEngadget日本版より転載)