"Spider Labs"とは

アドフラウド（広告詐欺）対策ツール”SpiderAF（スパイダーエーエフ）”の開発・提供などを行っている、設立が2011年4月のベンチャー企業です。https://jp.spideraf.com/about-usを参照。

”アドフラウド”とは、ネット広告分野でなされる不正で、本来見込まれる広告効果に反して不正に広告料金を受け取る行為を指しています（※1）。

※1 関連ブログ（"アドフラウド（広告詐欺）"とは、2017.3.25）のサイトは、https://blog.goo.ne.jp/blspruce/e/40e377f9ec02cf61cd4b3c79979709fdです。

最近のネット広告は、初期の”純広告”あるいは”予約型広告”（即ち、事前に決められた期間や広告枠に決められた広告を閲覧者の反応に関わらず掲載し続けるもの）とは異なり、8割程度あるいはそれ以上が閲覧者の反応などに基づいて動的に掲載される”運用型広告”となっています（※2）。広告主に課す広告料金も定額制でなく広告の表示回数やクリック数などに応じたものが主となっています。

※2 ネット広告手法に関する解説記事は、例えば、以下があります。「インターネット広告手法（広告掲載の仕組み）の進展と今後の展望」,流通経済大学流通情報学部紀要 25 (2), 55-73, 2021-03-10

アドフラウドは、サイト閲覧者ーサイト運営者（社）ー（広告代理人）－広告主といったネット広告の仕組みにおいて、サイト運営者側がBOTと呼ばれる処理自動化プログラムなどを使って、あたかもサイト閲覧者が行ったかの如く広告をクリックしたり、商品の資料請求などをしたりするものです。

Spider Labsは、最近、半期ごとにアドフラウドの調査レポートを公開しているようですが、2021年下半期の調査レポートによると、Web広告の6億9,600万回のクリックのうち、約4.4％にあたる3,062万回がアドフラウドであった（※3）とのことです。

※3 関連のプレスリリース（2022.3.1）のサイトは、https://prtimes.jp/main/html/rd/p/000000074.000031981.htmlです。

"Ring（アマゾンジャパン）"とは

アマゾンジャパンが、4月13日に日本での販売開始を発表し、4月20日より出荷開始予定のドアベルとセキュリティカメラのブランド名です。セキュリティ面でのスマートホーム需要の取り込みを狙っているようです。

今回販売される製品は、ドアベルの「Ring Video Doorbell 4」、屋内用カメラの「Ring Indoor Cam」、屋内外両用の充電式カメラの「Ring Stick Up Cam Battery」の3製品です。

スマートフォンとの連携が可能となっており、これらの製品を用途に応じて利用することにより、玄関先の訪問者の確認や要件への対応、「置き配」荷物の監視、帰宅する子供の様子の確認や留守宅ペットの見守りなどをスマートフォンを通して外出先から可能なようです。これらの製品の通信にはWi-Fiが利用されているようです。また、音声アシスタントサービスのAlexaとも連携でき、その機能を搭載した端末からの応答も可能なようです。

料金プランとして、Basicプラン(350円/月or3,500円/年)とPlusプラン(1,180円/月or11,800円/年)が用意されています。

プレスリリース（2022.4.13）のサイトは、https://prtimes.jp/main/html/rd/p/000001458.000004612.htmlです。

Ringのプロテクトプランのサイトは、https://ring.com/jp/ja/protect-plansです。

Ring（海外版製品）の動画のサイトは、https://www.youtube.com/watch?v=yXtOi88TlQsです。

“エモテット”とは

メールを媒体に感染してしまうコンピュータウイルスです。Emotetと綴ります。個人のみならず企業や組織では自身および他からの問合せの対応に追われるなど大きな脅威となっているようです。

2019~2020年に全世界で猛威を振るい2021年4月には解決していたはずだったようですが、2021年11月頃から再び感染が検知されその後増加し2022年3月に入って急激な広がりを見せているようです。

感染を誘発するメールの特徴として、(1)返信メールの形式になっていること（即ち、過去にやりとりした相手からの返信のようになっていること）、(2)メール本文が短いこと(例えば、”ご確認をお願いします。宜しく御願い致します。”など)、が挙げられています。このようなメールに添付されているファイルを誤って開くと感染してしまうようです。

誘発メールを受信し添付ファイルを開いて感染すしてしまうと、そのメールの返信を自分が過去にメールでやり取りした相手を片っ端から宛先にして（自動的に）送るようです。このようにしてメールでのつながりを利用して感染が拡大していってしまうようです。さらに、感染拡大だけでなくその延長でランサムウェア（身代金ウイルス）などの被害の危険性もあるようなので注意が必要となっています。

感染を未然に防ぐ有力な対策がある訳ではないので、送信者欄、本文の状況で気になるメールを受けた場合、添付ファイルを開く前にネットで調べるなどのアクションをとる習慣をつけたいところです。また、感染に気がついたら拡大させないために速やかにネットとの接続を物理的に断つなどを心がけたいところです。いずれにしても、一筋縄ではいかない難しい問題です。

"LIQUID Auth（株式会社Liquid）"とは

株式会社Liquid（2018年12月設立、東京千代田区）が、2022年1月から提供予定の顔認証サービスです。”リキッドオース”と読みます。当社が持つ顔認証システム”LIQUID eKYC”の運用によってクラウド上に蓄積された身元確認済の顔データを活用したサービスとなっています。

このサービスに対し”身元確認済みの顔データに対して顔認証を行い、なりすまし不正を防止”、”パスワードが詐取されても不正困難、コロナ禍で6倍増のフィッシング詐欺への対策に”などの説明が付けられています。

既存の”LIQUID eKYC”サービスは、ネット上での契約や口座開設の際に、当該本人の顔写真と本人確認書類（例：運転免許証など）とを照合して本人であるか否かを認証するようです。このサービスの運用において、照合OKと確認された当事者の顔写真はクラウド上のデータベースに蓄積されるようです。

”LIQUID Auth”の顔認証サービスにおいては、（1）認証の際に撮影された顔写真がクラウド側へ送られ、（2）”LIQUID eKYC”による認証でクラウド上に蓄積された身元確認済みの顔データと照合され、（3）その結果が認証結果として返される、という仕組みになっています。

照合先である身元確認済みの顔データは偽造が極めて困難なため、万一、パスワードやスマホ端末など他の認証情報が詐取されても、上記（2）の照合でNGとなり、”なりすまし”による不正を防止することができるようです。

なお、当人認証サービスにおいて照合先としてクラウド上のデータを利用するものは日本国内では初めてとのことです。

プレスリリース（2021.11.16）のサイトは、https://liquidinc.asia/2021-11-16/です。

また、”LIQUID Auth”のサービス紹介サイトは、https://liquidinc.asia/liquid-auth/です。

“一方向ハッシュ関数”とは

ハッシュ関数のうち暗号や電子署名など保安上の用途に適した性質を持つもので、「暗号学的ハッシュ関数」とも呼ばれます。

以下のような特徴を持っています。

・関数の出力である「ハッシュ値」は、入力メッセージのサイズに関係なく常に固定で小さい

・入力メッセージとハッシ値の間に規則性がない

　－入力メッセージが１ビットでも異なればハッシュ値も変わる

　－ある特定のハッシュ値が得られるような入力メッセージを効率よく求めることはできない

　－同じハッシュ値となるような別の入力メッセージを容易には見つけられない

電子署名や最近注目されているブロックチェーンなどで利用されています。電子署名では署名すべき入力メッセージを一方向ハッシュ関数でハッシュ値に圧縮し秘密鍵で暗号化して先方へ送っています。また、ブロックチェーンでは取引履歴を保持するブロックを入力メッセージとして一方向ハッシュ関数でハッシュ値にし、次のブロックに保持させてブロック間をつなぐようにしています。

電子署名に利用されているものとしてMD5（Message Digest 5）やSHA-1（Secure Hash Algorithm 1）が知られています。また、ブロックチェーンではSHA-256などが利用されています。

"BoID（スマートキャンプ）"とは

新興企業の「スマートキャンプ」（注：2014年6月4日設立）が2017年11月下旬に提供開始予定のクラウドサービス向けのシングルサインオンのサービスで、それを活用すると企業の従業員は種々のクラウドサービスをひとつのID・パスワードで利用することできます。「ボイド」と読みます。

企業の従業員が社内で利用している種々のソフトウェアのID･パスワードを取りまとめて一つにするようなサービスはこれまでに存在していたようですが、クラウドサービスのID･パスワードに限ったサービスはBoIDが最初のようです。

このサービスの実現において必要となるデータの記録部分には、仮想通貨で採用されている「ブロックチェーン」が使用されています。データは複数のコンピュータに分散して記録されるため、その改ざんが難しい上、たとえ改ざんがあっても履歴をたどることで原因を突き止めやすいとのことです。

また、このサービスには、各クラウドサービスの利用状況を「アクティブ率」として提供する機能も付けれれており、この数値に基づきクラウドサービスの入れ替えを検討したりできるようです。

スマートキャンプでは、1年間は（試行期間ということで）無料で提供し、その後、利用が定着したところで有料機能を追加する方向で考えているようです。

プレスリリース（2017.10.13）のサイトは、https://prtimes.jp/main/html/rd/p/000000015.000012765.htmlです。

“フィンガープリント”とは

本人確認のために利用される「指紋」のことです。1本の指の中に形、向き、位置などに関する特徴的な箇所が約150ポイントあるようで、それを利用しているようです。

ネットワークにログインしたり、スマートフォンなどを利用する際の本人認証に利用されていますが、最近では「コンテンツの同一性の確認」や「Web広告配信の際の端末の特定」にもこの種の技術が利用されつつあるようです。

特に、広告配信の場合は、端末に関する複数の情報、例えば、OSのバージョン、端末の画面解像度、ブラウザの種類などを収集しておき、同一の情報の端末と認識された場合、「ターゲティング広告」を配信するようなことが行われつつあるようです。

PCの場合は、この種の情報を、クッキーなどを利用して収集しているようですが、スマートフォンの場合は、クッキーが利用できない等から専用の技術（例えば、米「41st Parameter」社の「AdTruth」と呼ばれるもの）が利用されるようです。

“水飲み場型攻撃（Watering Hole Attack）”とは

インターネットを利用して行われる標的型攻撃の一種です。新しいタイプのようです。

攻撃対象を絞って行われる標的型攻撃のうち、攻撃対象者が「よくアクセスするWebサイト」に仕掛ける攻撃を指しています。攻撃対象者がどんなWebサイトによく訪れるかをあらかじめ調べ、そこを訪れた対象者がウイルスに感染するようにワナを仕掛けるようです。

草原や砂漠にあるオアシス（即ち、水飲み場）に水を求めてやってくる動物たちを待ち構えていて行う攻撃に似ていることから、このような名前で呼ばれているとのことです。

“S25R”とは

Selective SMTP Rejectionの略です。SMTPのポート番号が25であることからS25Rと略されています。メールサーバに送信されるメールのうち、迷惑メールと見られるSMTP通信を識別してリジェクトするという意味です。日本の技術者である浅見秀雄氏が開発した迷惑メール対策ソフトです。

受信側のメールサーバがメールの送信元をチェックし、送信元がエンドユーザのパソコンであるなど正規のメールサーバでないと判定した場合にはそのメールの受信を拒否するというものです。

迷惑メール対策としては、他に「ブラックリスト方式」や「本文チェック方式」などが知られていますが、前者についてはリストに登録された以外のアドレスを利用されると効果がなくなること、後者ではチェック時間が大きかったり、画像スパムには対応困難なことなどの弱点があります。

これに対し、S25Rはスピードも速く、上記のような弱点もなく効果的のようです。