1 Min. Read

不正対策にクローズドソースSDKが不可欠な理由

Michel Hotoveli Aug 27, 2019

 

クリス・ロックはコメディショーのひとつでこう言っています。「お金があっても治療はできない。できるのは薬を買うことだけさ」。彼が言及した大手製薬企業は、病気を実際に治癒する方法を見つけることよりも、症状を治療する薬を提供することに関心があると言われています。この製薬企業は顧客を治療するよりも維持したいと考えていることを、クリス・ロックは皮肉っぽく茶化しているのです。

製薬企業の経済構造がどのように機能しているかは不明確ですが、この概念は経済的に意味を持つものであり、医薬品メーカーにのみ厳密に当てはまるものではありません。

今日の経済を分析すると、数十億ドルの株式公開企業は、利益と成長を開示する義務があり、その多くは現代生活の「問題」および「病気」に対するソリューションとサービスを提供します。

特定の業界はさておき、オンライン広告業界とそこに蔓延する不正という「病気」に、この論理を適用せずにはいられません。近年、不正のスケールの拡大と 実行のしやすさが顕著に見られるだけではなく、不正に対する意識の高まりと、広告主様と媒体に対する不正がもたらす影響の認識が高まっています。経済学の基本に戻ると、需要が増加した場合、それに伴い供給も増加します。同様に不正に対する意識が高まると、新たな企業が登場し、ファーストパーティおよびサードパーティソリューションを提供して不正に対抗し始めます。

これらの企業は料金体系、メッセージング、認識課題、およびソリューションタイプはそれぞれ異なりますが、同様の疑問がこれらの企業に当てはまります。その疑問とは、収益源となる「不正」を取り除こうと、これらの企業が本当に全力を注ぐのかどうか、ということです。不正のない世界で不正防止ソリューションに対する需要はあるのでしょうか?

上記の疑問に答えるために不正防止を巡るいたちごっこを分析する時は、ゲームを続行するために、一方がもう一方の当事者に残す抜け穴を探してみてください。抜け穴は小さいかもしれませんが、必ず存在します。その抜け穴は例えば、広告主様と媒体の双方が、利害関係のある一方に対し有料サービスを提供する、というような簡単なものかもしれません。その場合、不正を排除するのに必要とされる公平さが損なわれる可能性が出てきます。

例:不正ソリューションプロバイダーは、特定の立場のビジネスに依存することもあることから、相互のビジネスに影響する可能性があるような不正に関するビジネス上の決断に直面すると、自らの論拠や目的に反した判断を行う可能性があります。

そういう意味では、不正ソリューションプロバイダーが公平な場合でも、広告配信の一連の流れのどこに属しているのか認識しておくことが重要です。

もう一点、無視してはならないとても重要な論点は、オープンソースのSDKソリューションを基盤とした不正防止ソリューションを活用している場合です。

 

オープンソースが不正ソリューションに不向きな理由とは

一部の不正ソリューションプロバイダーは、不正防止の一環としてオープンソーステクノロジーを使用することに誇りを持っていると主張しています。実際、多くの優れたツールは、ソリューションのビジョンと運用に適していることから、オープンソースコードを使用しています。例えば、Wikipedia、Google、そしてAdobeは、コミュニティの推進によってより良い製品を共同で開発および改善するといった、オープンソースの恩恵を多く受けている有名企業のほんの一例です。

このように、オープンソースのソリューションは確かに便利であり、多くの利点があるのですが、不正に関する安全性と保護を論じる場合、重大な欠陥があることが明らかになっています。

オープンソースのソリューションは、透明性が高く、レビューと改善が常にできる一方、リバースエンジニアリングや不正な操作による影響を受けやすい特性があります。言い換えると、自宅用に最先端のセキュリティシステムを投資している一方、正面玄関を施錠しない、と同じような事態が発生します。

オープンソースのSDKに依存するアトリビューションソリューションは、様々な種類のセキュリティ侵害を受けやすいため、新たなタイプの不正を生み出しています。いわゆる、SDKスプーフィングです

SDKスプーフィングとは、不正業者によって生成される合法的に見えるインストールを指し、この場合実際にインストールは発生しません。これは広告予算の浪費と虚偽のターゲティングデータに繋がり、将来の戦略と予算配分に大きな影響を与えます。

広告資金に対するアトリビューションハイジャックを目的に、SDKのアクティビティをスプーフィングしようとする不正業者は、コードに目を通してリバースエンジニアリングに少し投資するだけで、アクセスが許可されます。今では、不正業者はHTTPメッセージの論理回路を容易に理解することができる上に、各フィールド値が収集される方法を確認し、HTTPリクエストを使用して利益を得ることができます。

 

SDKスプーフィングに関する議論のほとんどは、MITM(中間者攻撃)や反射攻撃のようなネットワーク攻撃に焦点を当てていますが、それはSDKのデータがスプーフィングされる可能性のある一点に過ぎません。ネットワークを介して送信される前でさえ、データは収集、操作、およびスプーフィングされる可能性があります。動的な分析と計測に適した多くのツールにより、(アプリケーションの実行中に)バックエンドに送信される前に、攻撃されたアプリケーションのデータを監視および運用することができます。

これらのツールを正しく使用すると、不正業者はネットワークの「保護」メカニズムに損害を与えずに(読み取り時、バックエンドデータは合法的かつ「お墨付き」に見えます)、任意のデータを操作することができます。あらゆるソフトウェア(オープンソースであるかに関係なく)はリバースエンジニアリング可能であることに注意することが重要です。反論するソフトウェアプロバイダーは目の前にあるリスクを認識していないか、あるいは徹底的に考えられていない、あるいはその両方です。

問うべき問題は、これらの企業が攻撃の試みから自社のソフトウェアを守るために何をしているか、です。

 

オープンソースとの関係性

  • オープンソースはハッキングのプロセスを迅速かつ安価にします。不正業者はSDK内部でデータがどのように収集され、パッケージ化されるか正確に把握できるので、データを偽装しやすい場所を特定し、「高品質な不正」を行うことが著しく容易になっています。
  • この種の不正に対抗する保護メカニズムは明確に可視化されており、回避することが可能です。SDKの論理回路を不明なままにしておけば、不正業者はリバースエンジニアリングに対して多くのリソースを投資することが必要になります。
  • オープンソースソリューションでは、コードに実装された暗号化メカニズムが公開されており、研究したり容易に置き換えることが可能です。
  • オープンソースの場合、ソフトウェアを保護する責任は主にクライアント側が担います。クライアントがソースコードを保護するために必要な手順を踏まない場合、不正業者に抜け道を与え、彼らがソースコードの理解や置き換え、そして操作することを容易にします。

MITM(中間者攻撃)に対する保護が適切な方法で実装される場合、リモートネットワーク(ハッカーが遠隔地からネットワーク経由で配信された個人情報を盗もうとする状況)を経由した個人情報の盗難を防ぐことができます。

しかし、この場合は事情が異なります。不正業者は合法に見えるトラフィックを生成したようとするため、アプリ開発者がどのようにしてSDKを保護しサーバー上で認証するのかがこの場合極めて重要になってきます。不正業者が不正を実施するために必要なのは、トラフィックを生成するアプリケーションへのアクセスと適切なツールセットのみです。それらが揃えば、不正業者はOSレベルからアプリケーションコードを変更でき、自分たちのニーズに合わせて偽装トラフィックを生成できます。

このように、MITM(中間者攻撃)に対する保護は完全に無力化されます。

このような侵入が発見された場合、解決は可能ですが、更新や新たな機能をリリースするスケジュールに関係なく、アプリ所有者による緊急のSDKアップデートが必要です。つまり、アプリ所有者はもどかしさに囚われながらも、侵入が発生するたびに追加の時間を費やして高価なエンジニアリングリソースを投入し問題解決に取り掛かる必要がある一方、新たに開発された不正スキームに対しSDKが無防備に公開されたまま、という悪循環が繰り返されます。

 

注目すべきポイント

上記から、不正を決して安易に捉えてはならないものであることが言えます。

不正は広告費用を浪費し、新たな抜け穴やセキュリティ侵害を見つけるためにできる限りのことを行おうとする媒体を煽動します。マーケターは、さらに慎重にアプローチし、利用するすべての不正防止ソリューションの利点を評価することが求められます。ソリューションプロバイダーのサービスを利用するだけでは、完全に不正を防御できないことを認識する必要があります。

あいにく不正を完全に防御できる完璧なソリューションは存在しません。不正業者の根絶に向けた取り組みは、長く複雑なものです。むろん、多くの企業が参戦するのは良いことですが、正しい目的と手段によって参加しているのかどうか、マーケターは一度立ち止まり自問する必要があります。 

AppsFlyerでは、アトリビューションハイジャックからボット生成された偽装ユーザーまで、あらゆる不正に対しもっとも効率的で効果的な防止ソリューションを提供しています。

モバイル広告不正を解決するAppsFlyerの取り組みの一環として、AppsFlyer SDKは市場で最高レベルのツールを適用し、リバースエンジニアリングからソースコードを保護します。AppsFlyerの不正防止ソリューションであるProtect360は、コードソースに洗練された難読化と暗号化を使用することで、最先端の不正防止を実現しています。 

 

 

さっそくProtect360のデモを予約 して貴社のアプリを守りましょう!