SardineCon SF/2026

Learn More
The Saturday Fraud Strategist

昔はFacebookで人のことをストーキングしていました

2009年に私がPayPalで不正防止の仕事を始めた頃、こんな言い回しがありました。「善良な人は足跡を残す。」

正直言って、それがほとんど仕事のすべてみたいなものだった。

詐欺師たちは自分たちの痕跡を消そうとしていた。偽の身元、使い捨てのメールアドレス、消去されたブラウザーのクッキー、まっさらな新規アカウント。一方で正当なユーザーはというと、当時は誰もオンラインのプライバシーについてそれほど深く考えていなかったため、たいてい至るところにデジタルな足跡を残していた。

そう、仕事の一部は基本的にソーシャルメディアの調査でした。

正直なところ、変な話だけど俺はそれがやたら上手くなったんだ。

このエピソードでは、あるランダムなFacebookのプロフィール写真と植民地風の建物、そして昔のベトナムへのバックパッカー旅行が、最初は明らかな不正にしか見えなかった取引を、どのように承認する助けになったのかという話をします。

さて、その話を聞いて少しでも気まずく感じたなら、それでいいんです。そう感じるべきなんです。

ここで本質的に議論すべきなのは、Facebookでのストーキングそのものではありません。オンラインプライバシー、顧客のプライバシー、そしてデータプライバシーがインターネット全体ではるかに重要な優先事項となったことで、不正防止のあり方がどのように変化したのか、という点なのです。

そして今、私たちはこの奇妙なトレードオフに直面しています。

一般市民としての立場では、私たちの多くは、15年前と比べて公開情報へのアクセスが難しくなっていることを、むしろ歓迎しているかもしれません。しかし不正対策の専門家として見ると、かつては身元に関するインテリジェンスや行動パターン、不正リスクを把握するのに役立っていた可視性の多くを失ってしまったことにもなります。

単純な問題ではない。

かつてはソーシャルメディア調査によって、不正対策チームがデジタル上の手がかりをたどることができましたが、オンラインのプライバシー保護やAIを使ったOSINTツールの登場によって、詐欺との戦い方は一変しました……

  • フィンテックにおける不正防止の初期段階で、不正対策チームがどのようにソーシャルメディア調査を活用していたか
  • なぜ不正対策アナリストは、公開情報とデジタル上の痕跡に大きく依存していたのか
  • Facebook、位置情報の不一致、本人確認が絡んだ実際の詐欺調査の物語
  • オンラインプライバシーとデータプライバシーが不正防止ワークフローをどう再構築したか
  • ソーシャルメディアのOSINTが、プラットフォームによる利用者のプライバシー保護強化によってなぜ難しくなったのか
  • オープンソース・インテリジェンスの手法は、どのように手作業の調査からAIを活用したOSINTツールへと進化してきたのか
  • ソーシャルネットワークが公開範囲を制限してから、なぜアイデンティティ・インテリジェンスはより難しくなったのか
  • 不正防止のためのOSINT活用と、その現在の限界についての実践的な議論
  • 詐欺師とソーシャルエンジニアリング詐欺が、プライバシーをめぐる議論をどのように一変させたか
  • 不正対策担当者は、プライバシー規制との向き合い方を見直す必要があるかもしれない

昔ながらの詐欺捜査のエピソードから始まり、そこから話が広がって、個人データへのアクセスを失うことが、長い目で見ればむしろ私たちを守ってくれたのではないか、というテーマへと発展していく会話。

対象となる方:

  • 不正対策責任者および不正調査担当者
  • トラスト&セーフティの専門職
  • フィンテックの不正防止チーム
  • リスクおよびコンプライアンスの専門家
  • OSINTおよびデジタル調査の実務家
  • サイバーセキュリティおよびアイデンティティチーム

ソーシャルメディアOSINT、オンラインプライバシー、アイデンティティインテリジェンス、あるいはオープンソースインテリジェンスの手法に関心のある方。

基本的に、もしあなたがこれまでにFacebookを調査用のデータベースみたいに使ったことがあるなら、このエピソードはきっと少し居心地の悪い気分にさせると思います。

エピソードノート:

このエピソードは、今振り返ると少し正気とは思えないような、2009年の詐欺事件から始まります。

当時、ソーシャルメディアの調査は、私たちが持っていた最も有用な不正防止ツールのひとつでした。不正アナリストたちは、公開されている情報、Facebookのプロフィール、ジオタグ、興味・関心、写真、友人ネットワーク、そしてユーザーがオンラインに残したデジタルの足跡に大きく依存していました。

正直なところ、それはうまくいきました。

しかし、より重要なのは、オンライン上のプライバシーのあり方が劇的に変化したことで、不正行為の状況がどれほど大きく変わったかという点です。

現在では、顧客のプライバシー設定やプラットフォーム側の制限、そしてデータプライバシーに対する期待の高まりによって、かつてと同じやり方で調査を行うことははるかに難しくなっています。最新のAIを使ったOSINTツールや、より洗練されたオープンソース・インテリジェンス手法があっても、不正対策チームは、以前は不審な行動を説明する手がかりとなっていた膨大な行動コンテキストへのアクセスを失ってしまいました。

しかしそこで会話の流れが一変する。

現代の詐欺防止やソーシャルエンジニアリング詐欺について考え始めると、ある不都合な事実に気づきます。もし詐欺師たちが15年前と同じように公共データへアクセスできていたら、状況は今よりはるかに悪くなっていたかもしれない、ということです。

だからこそ、プライバシー規制は単に不正防止を難しくしているだけではないのかもしれません。

もしかしたら、彼らは私たちにもまだ戦うチャンスを与えてくれているのかもしれない。

重要なポイント:

かつて不正防止は、主に可視性に大きく依存していました。

ユーザーが残すデジタル上の足跡が多ければ多いほど、ソーシャルメディア調査は容易になりました。しかし、オンラインプライバシーや顧客プライバシーが進化するにつれて、かつて信頼性や本人確認の裏付けに役立っていた多くのシグナルに、詐欺対策チームはアクセスできなくなってしまいました。

同時に、詐欺の手口も進化していきました。

そしてそれによって、不正対策の専門家たちは奇妙な立場に置かれることになる。プライバシー上の制約に不満を抱きながらも、その同じ保護が存在していることに、内心では安堵しているのだ。

調査担当者にとってはあまり便利ではない。

たぶんそのほうが、ほかのみんなにとっては安全だね。

Host
Chen Zamir
Chen Zamir
Head of Fraud Strategy
Episode transcript
Chen Zamir
Chen Zamir
00:09
In 2009, I started my fraud prevention journey when I joined PayPal as a fraud analyst. Back then, we had this saying: good people leave tracks. The idea was simple. Fraudsters were trying to cover their own tracks. They used fake identities, signed up with disposable emails, deleted browser cookies. Either way, the identities they used would actually appear as brand new. Legitimate customers, however, never bothered with cleaning the breadcrumbs they left behind. Why would they? Back in 2009, when we reviewed fraud cases, this mainly meant that we stalked people on Facebook. And boy, was I good at it. One day, a colleague of mine was reviewing a case she couldn't decide on. The account and card were American. The IP came from Vietnam, which was a known fraud hub. And the Facebook page linked to the account's email had nothing on it. No geotags on recent pictures. No status updates about traveling there. No liked pages that referred to the item purchased. Basically nothing that could connect the identity to that return. But there was one thing that caught my eye. The profile picture showed the person standing in front of a colonial-looking villa surrounded by what looked to me like tropical vegetation. Now, funnily, I happened to backpack through Vietnam just a few years prior to that. I got this strong gut feeling that the picture might have been taken there. So, I searched for “colonial building Vietnam” in Google Images. That was before you could do reverse image search.
Chen Zamir
Chen Zamir
01:43
And lo and behold, the very same building popped up immediately.
Chen Zamir
Chen Zamir
01:47
That's how we knew the account holder was indeed traveling in Vietnam, and we decided to approve the purchase. Now, why am I telling you this story? First, to brag, of course. Second, I bet you just cringed listening to it. Not because you suddenly remembered writing public statuses on your Facebook wall, that too, probably. But likely because you remembered how easy it once was to violate someone's privacy. And if you forgot or weren't around, then here's an image of Facebook's advanced search from 2008 just to illustrate the possibilities. But now we're in 2026, and people are more aware of the dangers of oversharing private information on social media. Even more so, the regulatory environment has also changed, and so did the privacy settings platforms like Facebook enforce, especially by default. As a private person and a parent, I'm glad to see these changes. But as a fraud professional, that makes my job harder nowadays. It's much harder to find those same breadcrumbs good users leave behind. Some would argue that you still have very similar capabilities today. There are plenty of vendors out there who collect identity information, including which online services you subscribe to. You can also still use Google search and the limited search functionality that different social media platforms offer. And lately, we've also seen how AI tools make OSINT analysis easy and fast. All these are great, but privacy settings will still limit your reach, mainly your access to the behavior and social network of the user. Now think about how important those are. Knowing where a person is right now can remove a suspicion of fraud in cases of geo mismatch. Knowing what they like to do for fun can show direct relation to a purchase made. Knowing who their close friends are can shed light on that suspicious P2P transfer. Today, it all sounds cringe-worthy, but back in 2009, it was our secret weapon in fighting fraud. So, is privacy obstructing us from fighting fraud? There's another way to look at how our culture evolved around privacy concerns, and that has to do with the rise of scams as the prominent fraud threat of our day. Just imagine what scammers and con artists could achieve if we had the same level of data security we had 20 years ago. Now that could make my skin crawl. You see, as fraud fighters, we tend to complain about privacy regulations and how they stand in the way of implementing effective fraud prevention solutions. But maybe it's the other way around. Maybe they give us a fighting chance.