2 分で読めます
オーガニックの広告不正を撲滅するために
iOS 14とSKAdNetworkに潜む不正広告の落とし穴
SKAdNetworkをめぐっては混乱や不確かな情報による憶測が飛び交っていますが、まだ解明できてない問題がひとつあります。SKAdNetwork計測では不正広告のリスクはあるのか?
Appleは、アトリビューションの不正防止の仕組みをいくつか導入しています。SKAdNetwork経由のイベントはすべて「Apple認証済み」のコンバージョンイベントであることがわかるように、Appleの署名を付けてポストバック時に検証をおこないます。
ポストバックには個別のトランザクションID(「購入・課金」や「再インストール」を識別するためのID)が割り当てられ、同じコンバージョンイベントが重複されることを防ぎます。
ただし、これはあくまでもポストバックの妥当性を検証するものであり、ユーザーにひも付いているインプレッションやクリックといった行動を証明するものではありません。
ではこの仕組みに抜け穴はあるのでしょうか?あるとすれば、不正集団はその隙を狙ってバレることなく新しい手口を生み出すことはできるのでしょうか?
この答えを見つけるために、SKAdNetworkで起こり得るアトリビューション不正のシナリオを書き出してみました。
ポストバックが広告主のもとに届く前に不正をおこなう:
- 前述した署名やトランザクションIDは、ポストバック時の不正を防ぐために設計されたものです。けれどもこれだけでは万全とは言い切れません。
その理由は、署名にはコンバージョン値が含まれていないことや、トランザクションIDは繰り返し利用できることがあげられます(過去のトランザクションIDが永久保存されている場合は再利用されるリスクが高まる)。
唯一の解決方法はポストバックをもとの持ち主、つまり広告主のもとへ返すことです。 - 端末レベルでAppleを間違ったアトリビューションに導く
どのようなケースかについては、以下に例をあげていきます。
SKAdNetworkのアトリビューション計測では、パブリッシャー(広告配信先)およびキャンペーンIDに関する情報しか得ることができません。広告の効果計測や最適化をはかるうえで取得できるデータが限定的であることは確かです。
また、端末の操作時間(インタラクション)を取得することができません。効果計測に操作時間が必要な理由は、主にクリックからインストールに至るまでにかかった時間など、重要なイベント間の経過時間をはかるためです。この時間をはかることができなければ、不審な動きを検出して、ユーザー本来の行動パターンを形成することができません(ボットはユーザーの行動を大規模にコピーすることが困難という特徴がある)。
そこで我々は、不正行為の可能性を探るために別のアングルからこの問題に取り組むことにしました。
方法としては、不正集団の行動パターンを予測して、考えられる不正行為をそっくりそのままつくりあげます。そうすることで、弱点の可能性を分析・究明し、広告主を不正広告から守ることができると考えました。
インストールファーム
誰でも端末を1台以上持っている人であれば、アプリをクリック → インストール → 使用したあとに端末IDをリセットして、あたかも違う端末であるかのように装うことができます。これがいわゆるデバイスファームです。VPNを使えば、不正集団はIPアドレスを変更または隠すことができます
では、SKAdNetworkでも同様の手口が発生する可能性はあるのでしょうか?
その可能性は、大いにあります。
SKAdNetwork計測ではIDFAは利用できなくなりましたが、Apple IDは変わらず広告の効果計測をおこなう目的で利用されます。
さまざまなツールやサービスを通して自動プログラムでApple IDのリセットができるため、1つの端末から偽のユーザーを複数生み出すことは高確率で可能です。
ジェイルブレイクされた端末であれば、パブリッシャーのアプリを経由することなく偽クリックを生成することができます
SKAdNetworkでは、クリック操作の情報をすべて端末内のデータベースに記録します。技術的な基礎知識さえあれば、本物そっくりの偽アプリ環境をつくることは簡単です。そこからアドネットワークのサーバーに接続して、署名や広告キャンペーンに関する情報を取得できます。
偽アプリ環境からSKAdNetworkのデータベースにクリックを不正侵入させると、iOSはこの偽クリックが本物のアプリによって発生したものだと誤って認識します。
ジェイルブレイク端末は、偽アプリ環境から自動プログラムによってSKAdNetworkのタイマーを不正に操作することができます。どういうことかと言うと、少なくとも24時間かかるとされているポストバックをわずか20~30秒で送信します。タイマーの乗っ取りは端末上でおこなわれるうえ、端末の操作時間に関するデータもないので、広告主はこの不正に気付くことができません。
このことからも、デバイスファームは人間の手を使わずに広範囲にわたって不正行為を拡散することができるのです
クリック洪水
クリック洪水とは、偽のクリックを大量に送りつけて、オーガニックインストール(自然検索のインストール)または非オーガニックインストール(ユーザーが別のパブリッシャーの広告を見たあとにクリックを不正侵入させる)のどちらかにひも付けようとするものです。
SKAdNetworkでは、Appleのアプリストアを経由したインストールに成果がひも付けられます。ユーザーがパブリッシャーのアプリから広告をクリックした場合、アプリのストアページはパブリッシャーのアプリ内(英語)に表示されます。
SKAdNetworkのアトリビューション計測では、アプリのストアページが表示されると、これを「クリック」とみなします。
ユーザーがそこからアプリをインストールして起動すると、このインストールはパブリッシャーの成果に結びつけられます。
不正集団はこの流れをどうやってだますことができるのでしょうか?
我々が実施したテストでは、ユーザーが広告をクリックしなくても、パブリッシャーは広告主のストアページを表示させるだけで、偽のクリックレポートをつくることが可能なことがわかりました。
アプリのストアページを一度もクリックすることなく、クリック洪水と同様の原理で繰り返し表示させることができます。これは広告のインプレッションが偽クリックとしてレポートされる手口によく似ています。
Appleのビュースルー計測にどう影響を与えるか?
少し前にAppleがSKAdNetworkに追加したビュースルー計測だと、なおさらクリック洪水のリスクが高まります。クリックスルー計測の場合、Appleは全体の流れ(クリック → アプリストア → インストール)をチェックして検証をおこないます。
しかしビュースルー計測の場合、全体の流れからクリックが省かれてしまうため、同じ形式で検証をおこなうことができません。そのため、理論上は誰もがインプレッションを送りつけてインストールの成果を横取りすることができます。
SKAdNetworkの場合、パブリッシャーはインプレッションの開始・終了時間を指定できます。Appleの公式ドキュメントによれば、このタイムラインを「3秒以上」設けると記されていますが、決して強制しているわけではありません。パブリッシャーはこの隙を突いて、偽のインプレッション洪水やクリック洪水のレポートを送りつけることができます。
実はもっと安易な方法でビュースルー計測の不正を働くことができます。前述した端末のデータベースへアクセスし、偽のインプレッションを不正侵入させれば、最後のインプレッションを必ずパブリッシャーにひも付けるように作為できます。
自動プログラムを使ってクリックまたはインプレッションのレポートを送り付けることができてしまうので、クリック洪水・インプレッション洪水の機会を与えることになりかねません。
アプリストアでポップアップページを表示させて本物のユーザーからのインストールを促すようにする一方で、その他の不正行為は広告やストアページと関連のないオーガニックインストールの成果を奪うことを狙っています。
我々が実施したテストでは、クリックレポートから最大24時間後に発生したインストールでも、SKAdNetworkから成果をひも付けられることがわかりました。Appleの公式ドキュメントでは、30日のルックバック期間について言及されていて、このような手口が実際におこなわれる可能性が高くなっています。
上記で説明したパブリッシャーによる手口は、さまざまな検知モデルを取り入れているAppsFlyerの「Protect360」で防ぐことができます。たとえSKAdNetworkの集約データであっても、ある程度大きなデータを使ってユーザー行動を監視すれば、先ほどのような異常な行動を特定して振るいにかけることができます。
今後の展開
アトリビューション計測の新しい時代に突入しようとしているいま、広告詐欺の手口や狙いに関してはまだわからないことのほうが多いです。けれど、アトリビューション計測の新時代を迎えるにあたり、AppsFlyerは不正広告ゼロを目指して、Appleおよびエコシステム全体と協力し、不正行為が発生するごとに問題を提起していきます。
不正広告対策のスペシャリストとして広告主を守るためには、あらゆる弱点や悪用の可能性について掘り下げて、不正行為のリスク要因を特定していくことが我々の役目だと思っています。
今後も新たなソリューションを開発していきます。こうご期待ください。
