人間が見てると思いきや。
いまこの瞬間にもAppleユーザーになりすましたボットがWebサーフィンして広告をクリック、広告主が負担する広告料を不当に釣り上げている――そんな実態が最新調査で明らかになりました。
不正操作に使われているのは、iCloudに装備されている「プライベートリレー」というプライバシー保護機能です。Appleのサイトでは次のように紹介されています。
Appleは「詐欺検出機能が実装」されているため、広告ネットワークも信頼できる機能だとしているのですが、同社に問題を通報してから何か月も経つのに状況は一向に改善されず、むしろ悪化しているのだと研究班は主張しています。
9割がボット⁉ 被害はアメリカだけで年間90億円
プライバシーリレーは、iCould+のサブスクリプションに加入した人が使えるApple端末の機能です。ONにすると、ウェブ閲覧履歴が秘匿され、IPアドレスも仮アドレスがアサインされるので、もう広告会社に行動をトラッキングされない!というのがウリ。
ところが広告会社のPixalateが11月に発表した研究結果によると、プライベートリレーを介したWebトラフィックの実に90%がなりすましでした。これにより米国内の広告主には2022年だけで6500万ドル(約90億円)もの被害がおよぶ見込みとのことです。
プライベートリレーを悪用
もっともApple製品の利用者に直接被害がおよぶことはありません。単に「利用者になりすます」手口ということですね。Appleの信用にただ乗りして広告テクノロジーの複雑な構造に付け込んだ犯行だとPixalate社は言っています。
「プライベートリレー経由の接続なら個人情報が秘匿され詐欺もないとAppleは説明しているので、そこを突いて詐欺師はAppleからのトラフィックのように見せかける作戦に出たというわけだ」
「安全なトラフィックを”許可リスト”に加えるのと同じ感覚で、Appleならとみんながスルーしてくれると期待しているかのように見える」(Pixalate社プロダクトVPのAmit Schettyさん)
詐欺は広い範囲で見られますが、ボットは特定ドメインに固まっていて、特に被害が集中しているのが、E! Online、ESPN、MLB、NBCニュース、Weather.comを含めた9つのWebサイトのディスプレイ広告です。
Pixalate社からAppleには8月に報告が上がったのですが、詐欺件数は加速度的に増加中です。あまりにもひどいため、Shettyさんは、プライバシーリレーからの流入をブロックするようアドテック企業とサイトの各社にアドバイスしたんだそうな。
いっぽうベストセラー本『ADSCAM(広告詐欺)』の著書で知られる元広告代理店エグゼクティブのBob Hoffmanさん(今回の調査とは無関係)はこう言っていました。
「プログラム可能な広告システムは複雑すぎて、実のところだれも理解できていないのが現状」
「広告費の少なくとも15%は消えていて、どこに消えたのかもわからない」
Appleにもコメントを何度か求めましたがまだ回答は得られていません。
複雑になればなるほど隙が生まれる
オンライン広告は通常、アプリやWebサイトが多数のアドテク企業とパートナーシップを組んで表示しています。広告が表示されるたびにサイト・アプリの開発者に広告費が落ちるため、ベンダーすべてが関わってきますし、関わる人が多いほど事は複雑になっていきます。広告表示1回ごとに企業がウジャッと関わってシステムをウジャッと通るので、不正が付け入る隙はいくらでもできてしまうのです。
「広告主がWebサイトやパブリッシャーから直接広告枠を買うのをやめて、プログラム可能な広告エコシステムのロングテールに深入りすればするほど、被害に遭う確率は高くなる」(Hoffmanさん)
一時的なIPアドレスがネック
広告詐欺の識者の間でも、今やAppleのiCloudプライベートリレー(iCPR)機能は欠かせない予備知識です。iCPRでは個人のWeb閲覧履歴が秘匿されるため、インターネットサービスプロバイダ(ISP)や携帯通信事業者ですらネットの行動を追跡することはできません。秘匿する際にAppleが使うのが一時的アドレス。これはAppleがオンラインに公開している、これ専用のIPアドレスのリストから割り振ることになっているのですが、これがネックでありまして…。サイトやアドテク企業ではIPアドレスを手掛かりに不正なトラフィックを検出していたのに、iCPRでは本物のIPアドレスが隠れちゃうので、それさえもできなくなってしまうんです。
Appleの説明とかけ離れた実態
Appleは、何も心配することはないとアドテク各社に説明していますし、iCPRのアドレスはリアルの人間を代表するものだからアプリもWebサイトもアドテク会社もこれなら信頼して大丈夫だと言っていて、調査結果とだいぶ隔たりが見られます。
Appleの説明資料を読むと、プライベートリレーには「不正防止機能が実装」されており、「有効かつ正当なApple端末およびAppleアカウントだけが当該サービスを利用できるしくみ」だとも述べられています。さらに「プライベートリレー経由の接続はアカウントおよび端末レベルでAppleによって有効と認証されたものです。IPアドレスで不正の予防・撲滅に努めるWebサイトも信頼することができます」とも書かれていて、もっと隔たりを感じます。
プライベートリレーからの流入の9割がフェイク
今回の調査でわかったのは次のようなことです。
・不正を働く人は、プライベートリレー(iCPR)が発行するIPアドレスを捏造し、広告システムに関わる企業とシステムのリレーに紛れこませていた。
・プライべートリレーからのWebトラフィックの90%がフェイクだった(つまりWebサーフィン用ロボットが1億台以上あって、それが人間のふりして広告を閲覧していた)。
・Safariからの流入のうち21%はiCPR利用者で、iCPRの利用は増加傾向にある。
9割って…。Safariブラウザは利用10億人。その5分の1がiCPRで、その9割がフェイク…か…。
ワンセッション中に自動でIPアドレスがコロコロ切り替わる
調査ではトラフィックの出元を分析するなどして、不正行為を洗い出しました。プライベートリレーの機能が使えるのはSafariブラウザだけのはずなのに、iCPR発行のIPアドレスはFirefoxブラウザにも紐づけられていたりして、Safariが使えない非Apple端末にも紐づけられている怪現象も確認できたそうです。
こうしたIPアドレスはデータセンターから発行されていて、ここにトラフィックを迂回させることで自分たちのアクティビティを隠していたんだそうですよ?(Appleの「Hide My IP」機能など、分析に影響しそうなほかの機能も考慮したうえでの結論)
これについて広告詐欺検出の専門会社Deepsee(調査とは無関係)のRocky Moss CEOは、データセンターや非純正ブラウザから発行されるiCPRの偽IPアドレスには、不正アクセスにありがちな傾向が観測されると言っています。
「プライベートリレーのIPアドレスを装った不正がある場合、考えられる理由はひとつ。[...](アドテク会社が)AppleのIPアドレスを信頼できるものとして扱っているからにほかならない。ヘッダの値なんて簡単に操作できるのに」
ほかにもPixalateの調査では「ボットリング」に関わるiCPRのIPアドレス群も検出されています( ボットリングではユーザの大群がほかには脇目もふらずいくつかのサイトやアプリに集中的に訪問するので不正な流入とわかる)。
iCPRのIPアドレスは閲覧セッションを通して共通だとAppleは言っています(ブラウザを開けてから閉じるまでIPアドレスはひとつ)が、Pixalate研究班が観測したところ、iCPR のIPアドレスが何回も変わるセッションが全セッションの過半数を占めたといいます(広告詐欺では不正なユーザの追跡を困難にするため、IPアドレスは自動的に変わるよう設定されたりする)。
こうしたことから、セキュリティとプライバシーを守るAppleという信頼のブランドを盾にしてレーダーに検知されないまま堂々と不正を働いていると研究班は指摘しています。
「アドテク企業はみな、iCPRのIPアドレスなら安全圏と判断すると思われている。こう思われてしまうのもAppleブランドに対する信頼の現れであり、AppleがiCPRの安全性を繰り返し強調していることから生まれる期待値と言える」(研究班)
Appleが不正に加担した形跡はありません。しかしプライベートリレーの機能説明に注意を促す表現が一切なくて、プライベートリレーを盲目的に信用するよう推奨しています。それが問題だというのが研究班の見方です。機能を発表した段階では、まさかデジタル広告がここまで迷宮のように入り組んでいるとは思ってなかっただろうし、不正の温床になりやすい構造なことも知らなかったのではないかと話していました。
デジタル広告業界全体の問題
これはデジタル広告全体の問題でもあります。「オンライン広告産業の内情を解読できる人間は本当に1万人に1人という世界」「だからこそ信用が大事なのだ」とHoffmanさんも仰ってました。
広告表示では、まず広告のビディング(競争入札)があって、ビディングのたびに企業から企業へとトラフィックが飛びます。大半の関係者はユーザーの実機とやりとりすることがないため、トラフィックが有効かどうかを見分けるのは難しく、時間もかかるのです。
サイト側の反応は?
プライベートリレー不正広告の被害を受けているサイトにもコメントを求めましたが、ESPNからはノーコメントという返事で、NBC、MLB、E!からは返答なし。IBM広報のMelissa Medoriさん(Weather.comオーナー)からは次のコメントをいただきました。
「不正なトラフィックの問題は依然として業界全体の問題です。weather.comでは、担当チームが無効なトラフィック(IVT=invalid traffic)を注意深く観察し、不正と判断されれば、テック提携各社と連携してこれをブロックするなり、当社独自のプログラム可能な広告システム内で被害の軽減に努め、また、予防策の追求を進めています」
被害規模
広告詐欺は大きな問題ですが、具体的な被害規模についてはだれも知りません。 アドテク分野の10人に話を聞けば10通りの回答が出てくる状態です。
取材の途中で耳にしたのは、オンライン広告費全体のうち5%ないしは40%が不正の餌食になっているというものでした(ある不正広告の専門家は実数は90%かもねと言っていました)。途方もない金額です。
Statistaによると、広告主がデジタル広告に割く予算は全世界で6020億ドル(約83兆6443億円)。その5~40%がどっかに消えてるんすね…。
