ベンチャーキャピタル企業アンドリーセン・ホロウィッツが支援するAIスタートアップDoublespeedが2025年12月にハッキングされた。Doublespeedは顧客に大規模なフォンファームへのアクセスを提供し、何百ものAI生成ソーシャルメディアアカウントを運用するサービスを展開している。今回のハッキングでは単一のアカウントではなく、フォンファームを管理するバックエンド全体が侵入された。ハッカーは404 Mediaに対し匿名で、使用中の電話、マネージャー、TikTokアカウント、プロキシとパスワード、保留中のタスクなどを確認できると語った。ハッカーはDoublespeedのフォンファームが運用する400以上のTikTokアカウントのリストを共有し、そのうち約半数が製品を宣伝していた。
これらの投稿の大半は広告であることを開示しておらず、TikTokの利用規約と連邦取引委員会のデジタル広告規制に違反している。ハッカーは10月31日に脆弱性を報告したが、本日時点でもバックエンドにアクセス可能だったという。Doublespeedは現在TikTokでのみ活動しているが、Instagram、Reddit、Xへの拡大を計画している。
From: 
Hacker Busts Startup Running Huge Web of AI-Generated “Influencers” on Instagram
【編集部解説】
今回のDoublespeedのハッキング事件は、生成AIとソーシャルメディアマーケティングが交錯する領域で起きている構造的な問題を浮き彫りにしています。
まず「フォンファーム」という仕組みについて説明しますと、これは大量の物理的なスマートフォン端末(今回の場合は約1,100台)をラックに並べ、それぞれを中央管理システムで制御する装置です。従来は主に不正な広告クリックやレビュー操作に使われていましたが、Doublespeedはこれに生成AIを組み合わせ、「人間らしく見えるアカウント運用」をサービスとして提供していました。
この仕組みの巧妙な点は、AIがコンテンツを生成するだけでなく、実際の物理デバイスを使うことでプラットフォームの検知システムを回避できる点にあります。TikTokやInstagramなどのプラットフォームは、ボットによる不正行為を検知するため、デバイスの指紋情報や行動パターンを分析していますが、物理的な端末を使用することで、より「人間らしい」振る舞いを演出できるのです。
Doublespeedは、アンドリーセン・ホロウィッツの「Speedrun」アクセラレータープログラムから100万ドルの投資を受けています。このプログラムは12週間の集中支援を提供し、選抜率は1%未満という超難関です。しかし、今回の事件は、シリコンバレーの名門VCが支援するスタートアップが、プラットフォームの規約に明確に違反するビジネスモデルを展開していたという事実を明らかにしました。
特に問題なのは、広告表示の義務違反です。404 Mediaの報道によれば、Doublespeedが運用する400以上のTikTokアカウントのうち約半数が商品を宣伝していましたが、その大半が広告であることを開示していませんでした。これはTikTokの利用規約だけでなく、米国連邦取引委員会のデジタル広告規制にも抵触します。
今回のハッキングで露呈したもう一つの深刻な問題は、セキュリティの脆弱性です。ハッカーは10月31日に脆弱性を報告したにもかかわらず、12月17日の報道時点でもバックエンドにアクセス可能だったと述べています。これは責任ある脆弱性開示に対して適切な対応がなされなかったことを示唆しています。
この事件が投げかける長期的な問題は、ソーシャルメディアにおける「信頼性」の崩壊です。Doublespeedは現在TikTokでのみ活動していますが、Instagram、Reddit、Xへの拡大を計画しています。月額1,500ドルから7,500ドルという価格設定は、多くの企業にとって手が届く範囲であり、このようなサービスが一般化すれば、ソーシャルメディア上のコンテンツのどこまでが「本物の人間」によるものか判別することが困難になります。
プラットフォーム側の対応も注目すべき点です。TikTokは404 Mediaから通知を受けた後に該当アカウントにラベルを付けましたが、それまでは事実上放置されていました。Metaは今回の件についてコメントを求められても返答していませんが、アンドリーセン・ホロウィッツの共同創業者であるマーク・アンドリーセンがMetaの取締役であることを考えると、利益相反の可能性も指摘されています。
【用語解説】
フォンファーム(Phone Farm)
大量のスマートフォン端末を物理的にラックに設置し、中央管理システムで一括制御する仕組み。本来は広告の不正クリックやレビュー操作などに使われる手法で、「クリックファーム」とも呼ばれる。物理デバイスを使用することで、プラットフォームのボット検知システムを回避しやすくなる。
アストロターフィング(Astroturfing)
人工芝を意味する「AstroTurf」から派生した用語で、組織的に作られた偽の草の根運動を指す。ソーシャルメディアにおいては、本物のユーザーによる自然発生的な投稿に見せかけて、実際には企業や組織が組織的に展開するマーケティング手法のこと。
プロキシ(Proxy)
インターネット接続の際に中継するサーバー。IPアドレスを隠蔽したり、地域制限を回避したりする目的で使用される。フォンファームでは、各デバイスが異なる地域から接続しているように見せかけるために使われる。
デバイスフィンガープリンティング(Device Fingerprinting)
端末の固有情報(OS、ブラウザ、画面解像度、インストールされているフォントなど)を組み合わせて、デバイスを識別する技術。プラットフォームが不正なアカウントを検知する際に使用される。
FTC(連邦取引委員会)デジタル広告規制
米国連邦取引委員会が定める広告規制で、ソーシャルメディア上で広告や宣伝を行う際には、それが広告であることを明確に開示することを義務付けている。違反した場合、罰金などの制裁を受ける可能性がある。
【参考リンク】
Doublespeed(外部)
Doublespeedの公式サイト。大規模なソーシャルメディアアカウント運用を提供。現在はアクセスできない可能性がある。
Andreessen Horowitz (a16z)(外部)
シリコンバレーを代表するベンチャーキャピタル企業。テクノロジー、ヘルスケア、金融など幅広い分野に投資。
a16z Speedrun(外部)
12週間のスタートアップアクセラレータープログラム。最大100万ドルの投資を提供。選抜率は1%未満。
404 Media(外部)
テクノロジーとデジタル文化を扱う独立系ニュースメディア。深掘りした調査報道を展開している。
TikTok Commercial Content Disclosure(外部)
TikTokの商業コンテンツ開示に関する公式ガイドライン。広告コンテンツの開示義務について説明。
Federal Trade Commission (FTC) – Advertising and Marketing(外部)
米国連邦取引委員会の広告とマーケティングに関する公式ページ。デジタル広告の開示要件を提供。
【参考記事】
Hack Reveals the a16z-Backed Phone Farm Flooding TikTok With AI Influencers(外部)
404 Mediaによる独占スクープ。約1,100台のスマートフォンを使った大規模なAIインフルエンサー運用の実態を報告。
AI “Phone Farm” Startup Gets Funding from Marc Andreessen to Flood Social Media With Spam(外部)
Futurismによる10月の報道。月額1,500ドルから7,500ドルのビジネスモデルと利用規約違反について詳述。
1,100 Phones, Zero Humans: Inside the Hack That Exposed TikTok’s Shadow Ad Machine(外部)
International Business Timesによる詳細分析。1,100台のスマートフォンの物理的構造とAI生成インフルエンサーの実態を報告。
Doublespeed Hack Reveals What Its AI-Generated Accounts Are Promoting(外部)
Slashdotによる技術コミュニティ向け報道。バックエンド全体の制御とSpeedrunプログラムからの資金調達について説明。
【編集部後記】
ソーシャルメディアで目にする「インフルエンサー」の投稿が、実はAIによって生成され、フォンファームで自動運用されているかもしれない——この事実に、皆さんはどのような感想を持たれるでしょうか。今回の事件は、私たちが日常的に接しているデジタル空間の「信頼性」という根幹を揺るがすものです。
TikTokやInstagramで何気なく見ている製品レビューやおすすめ投稿が、本当に人間の体験に基づいたものなのか、それとも最高入札者によって作られた広告なのか。この境界線が曖昧になりつつある今、私たち一人ひとりがメディアリテラシーを高めていく必要があるのかもしれません。皆さんは、どのようにして「本物」と「偽物」を見分けていますか。
