日々巧妙さを増すアドフラウド（Ad fraud、広告詐欺）は、今日のインターネット広告における重大な問題です。前編では2017年現在の主なアドフラウドの様式についてご紹介しました。後編では、パブリッシャーの利益をせしめる「広告ロンダリング」という手口について、また自社サイトがコピーされ、アドフラウドに悪用されてしまう「偽サイト」について、詳しく解説していきたいと思います。

パブリッシャーが直接被害を受ける「広告ロンダリング」

広告ロンダリングとは、広告枠を実態とは違う情報で偽装し、入札させる手口です。どの情報を偽装するかという部分で、手法は2つに分かれます。ひとつはドメインを偽る「ドメインスプーフィング」という手法、もう一つはサイトの所有者だと偽り、偽ったサイトに勝手に広告を掲載する「広告インジェクション」という手法です。

ドメインスプーフィング

ドメインスプーフィングとは、詐欺集団がプログラマティック環境においてURLやドメインを他のパブリッシャーのものに偽装するという手法です。
このドメインスプーフィングは、媒体からSSPへ広告リクエストを送る際、もしくはSSPからDSPへ入札リクエストを送る際に、ドメイン情報を偽ることで発生します。
たとえば、詐欺集団が用意したAというサイトがあるとします。詐欺集団はこの中の広告枠の情報を高値で入札させようと、大手新聞社サイトのドメイン情報に偽装します。これを落札した広告主の広告は大手新聞社サイトには掲載されず、Aサイトに掲載されてしまいます。当然、大手新聞社サイトに期待した広告効果は出ず、なりすまされたドメインには低い評価がついてしまいます。
DSPは入札リクエストの情報を元に入札を行うため、より高値で入札されるであろうプレミアムサイトのドメインが狙われやすい傾向にあります。

この不正によって、パブリッシャー・広告主は次の被害を受けます。

パブリッシャー（例の場合、大手新聞社）

広告収入が奪われる

なりすまされたドメインに悪評が付く

広告主

落札したはずの大手新聞社サイトに掲載されない

大手新聞社の広告枠に掲載するために支払った掲載料金が詐欺集団にせしめられる

ブランドセーフでない場所へ掲載されるかもしれないというリスクを負わされる

2017年9月、英Financial Timesはドメインスプーフィングにより月間130万ドルの損害を被っていたことを発表しました。同社のプログラマティック広告による収入は5％にすぎず、よりプログラマティック広告による収入の割合の多い他のパブリッシャーは更なる被害を受けている可能性があると言及しています。

広告インジェクション

広告インジェクションとは、詐欺集団がプログラマティック環境においてWebサイトの所有権を偽り、本来表示されているはずの広告を別の広告に差し替えたり、掲載枠ではないスペースに広告を挿入するという手法です。
広告インジェクションの場合、落札された広告は実際に偽られたWebサイトに掲載されます。Webサイトを所有するパブリッシャーはこうした詐欺の標的になったことすら気づかず、被害に遭ってしまうのです。

2015年の米Googleの調査では、Googleのサイトを訪れたユーザーの5.5％に少なくとも1つ以上の広告インジェクタがインストールされていることがわかりました。

出典：https://people.eecs.berkeley.edu/~pearce/papers/injection_oakland_2015.pdfより

この不正によって、パブリッシャー・広告主は次の被害を受けます。

パブリッシャー

広告収入が奪われる

予期せぬ広告（アダルトなど）が表示され、メディアのブランドが傷つく

予期せぬ場所に広告が挿入され、ユーザビリティが落ちてしまう

正規に購入された広告に不正広告を重ねられてしまった場合、正規な広告のビューアビリティ―が奪われ、広告効果が下がり、ドメインに悪評がついてしまう

広告主

落札したはずの掲載位置に掲載されない可能性がある

この広告インジェクションが発生するのは、ユーザーのWebブラウザにインストールされた拡張機能に悪意あるプログラムが仕込まれているケースが多いようです。アクセスしたページの広告をすり替えたり、重ねたり、コンテンツの間に挿入したりといったことをブラウザ上で行います。またこうしたマルウェアの中には広告インジェクションと同時にアカウント情報の窃取、 検索クエリの乗っ取り、トラッキングのためのユーザーアクティビティの第三者送信等を行っているものが報告されています。

自社のサイトやコンテンツが詐欺に悪用される「偽サイト」

偽サイトとは、本物のパブリッシャーからコンテンツをコピーするなどして不正にサイトを立ち上げ、アドネットワークやSSPなどを欺き媒体登録をして広告費をせしめる手法です。偽サイトというと通販サイトでの詐欺やフィッシング詐欺などを連想させますが、近年はアドフラウドにも悪用される被害が確認されています。偽サイトはコンテンツのみコピーされたり、ソースを丸ごとコピーされるなどして生成されますが、中にはiframeで本物のパブリッシャーのサイトを表示させ、その上下やiframeに重ねるように広告を配置するパターンなども報告されています。トラフィック・フラウドと掛け合わされるケースが多いようです。「偽サイト」によってメディアブランドが傷ついたり、重複コンテンツ・類似ページと判断され検索順位が下がってしまう可能性もあり、パブリッシャーは十分注意をしなくてはなりません。

パブリッシャーのためのアドフラウド対策

こうしたアドフラウド被害は、巨大なトラフィックのあるサイトだけが狙われるとは限りません。詐欺集団は詐欺行為が察知されることを避けるために、広く浅く様々なサイトをターゲットにしていることが考えられます。つまり、サイトの規模や種類にかかわらず、どんなサイトでも、被害に遭う可能性があるのです。
アドフラウドによる被害を予防するために、2つの対策をご紹介したいと思います。

対策1：ads.txtの設置

ads.txtとは、プログラマティック取引において、偽造された広告枠や不正なインプレッションの販売を防止するツールです。Authorized Digital Sellers（認定されたデジタル販売者）の略で、このファイルにサイトの広告枠の販売を許可している広告システムの情報を記載し、公開することで、パブリッシャーは公式に販売を許可している広告システムを宣言することができます。この宣言をすることにより、もしドメインスプーフィングや広告インジェクションなどの詐欺を狙った広告／入札リクエストが発生しても、DSP側が本物のサイトのads.txtを参照することで、リクエスト情報が偽装されていることに気づくことができます。結果として詐欺集団によるリクエストに対して買い付けは行われず、被害を未然に防ぐことが可能になります。

ads.txtについて詳しくは「そこが知りたいads.txt！書き方は？設置方法は？導入するとどうなるの？」をご参照ください。

対策2：X-Frame-Options HTTPレスポンスヘッダを設定する

X-Frame-OptionsをHTTPレスポンスヘッダに設定することによって、iframe内からWebページが読み込まれるのを防止することができます。これはクリック・ジャッキング（※悪意のあるサイト上の特定箇所をクリックさせ、別サイトの設定情報を変更させるという手法の詐欺）の防止策でもありますが、iframeを使った偽サイト対策にも有効です。詳しい設定方法は下記参考サイトをご覧参照ください。
クリックジャッキングって？／TECHSCORE BLOG（外部サイト）

以上2点がいますぐにパブリッシャーが実践できる対策です。しかし残念ながら、万全な対策であるとは言えません。アドフラウド対策は被害に遭っていることにいかに気づけるかどうかが非常に重要になってきます。そのためには、常日頃から自身のサイトやアプリのトラフィックや収益をチェックし、普段とは違った傾向が見られたらその原因を究明することが大切です。アドフラウド被害に遭っていた場合、特定の枠だけ突然CPMが下がったり、普段よりも膨大なインプレッション数をたたき出したりという異常値が起こり得ます。そうした異常値を放置してしまい、アドフラウドに気づけなかった場合、広告効果は落ち続け、ドメインの評価は取り返しがつかないほどに下がってしまうかもしれません。
アドフラウドは特定のパブリッシャーやデベロッパーに狙いを定めて集中的に被害をもたらすものではなく、多数から薄く長期的に利益を掠め取ろうとするものです。被害を最小限にするために、日頃からアドフラウドを意識したサイト・アプリ運用を実践していきましょう。

参考文献：Common Forms of Digital Display Ad Fraud: Faking Traffic, Sites, Attribution and More　(eMarketer)