クリック詐欺とは? | クリックボットの仕組み

クリック詐欺とは、不正なクリックによって、PPC(クリック報酬型)広告を標的としたり、Webページの検索ランキングを押し上げたり、ソーシャルメディア上のポストの人気を人工的に膨張させたりします。クリックボットはクリック詐欺によく使われます。

Share facebook icon linkedin icon twitter icon email icon

クリック詐欺

学習目的

この記事を読み終えると、以下のことができます。

  • クリック詐欺とは何か、それが生じる理由を理解する
  • クリックボットの仕組みを知る
  • クリック詐欺の負の効果について学習する

クリック詐欺とは?

クリック詐欺では人あるいはボットが、Webページ上の正当な訪問者であるふりを装い、広告、ボタンあるいはその他のタイプのハイパーリンクをクリックします。クリック詐欺の目的は、プラットフォームかサービスを騙して、実在するユーザーがWebページ、広告あるいはアプリと対話していると思わせることです。

クリック詐欺は、通常大規模で生じます。リンクはそれぞれ一度ではなく何度もクリックされ、多数のリンクがターゲットとされます。このプロセスを自動化するために、詐欺師は何度もリンクを「クリック」するボットをよく使用します。すべてのインターネット通信量のおよそ50%がボットとされています。* 広告配信Webサイトの20%は、クリック詐欺ボットしか訪れていません。**

クリック詐欺にはさまざまな目的があります。最も多くの場合、特に広告不正行為で詐欺師が金銭的利益を求めるものです。PPC(Pay Per Click:クリック報酬型)広告をターゲットとすることにより、競合他社の広告予算を浪費させるためにクリック詐欺を使用することもあります。クリック詐欺は同様にイデオロギーの動機づけもあります。たとえば、特定の投稿がより人気があるように偽装することです。サイバー犯罪者は、悪意のあるWebページを検索ランキング中でより高く表示させ、正当であるよう偽装するためにクリック詐欺を使用することもあります。

一般的なクリック詐欺のタイプ

クリック詐欺の1つの例は広告不正行為です。Webサイトオペレーターが自分のWebサイト上でPPCディスプレイ広告のクリック詐欺を行うものです。クリック詐欺犯は、PPC広告を表示し、次にクリックボットに広告で使用するWebページを「クリック」させるようセットアップします。広告ネットワークはWebサイトオペレーター(詐欺師)に各クリックごとに広告料を支払わなければなりません。不正行為を発見できなければ、クリック詐欺の回数が増えるほど、広告ネットワークはWebサイトに広告料を支払わなければなりません。

広告不正行為はさらに広告の代価を支払う会社に対する金銭的攻撃にもなり得ます。このようなシナリオでは、詐欺師は、PPC広告を自分では所有しないWebプロパティに向けます。詐欺師は、クリックから利益を出すことは期待していません。標的とされた会社には、コストがかかり、各詐欺クリックに広告料を支払わなければなりません。

クリック詐欺の別の使用例としては、人為的にクリック率を増やして、検索エンジンランキングを操作しようとする行為があります。「クリック率」とは、すべての合計の訪問者のうち、あるリンク上のページをユーザーがクリックした人数を指します。クリック率はGoogleのような検索エンジンが考慮するランキング指数です(どの程度の割合で考慮されているのかは明らかではありません)。このシナリオでのクリック詐欺の目的はWebページのクリック率を増加させることで、検索エンジンでのランキングを押し上げ、ページにより多くの実在するユーザーを惹きつけることです。

クリックボットとは何ですか?

クリックボットはクリック詐欺を行うようにプログラムされたボットです。最もシンプルなクリックボットは、単純にWebページにアクセスして目的のリンクをクリックします。巧妙に設計されたクリックボットは、実在するユーザーと同じ動作をするようにプログラムされています。たとえばマウス動作、クリック前のランダム休止、クリック間のタイミングを意図的にずらすなどです。このように、ボットを書いた詐欺師は、正当なユーザーのクリックであるかのようにボットクリックの偽装を試みます。

単一デバイスから何百回も何千回も行われるクリックは直ちに疑われてしまうので、クリック詐欺では多くのデバイスにインストールされているボットをよく使用します。これらの各デバイスには異なるIPアドレスがあるため、各々が異なるユーザーのクリックのように見えます。そのようなデバイスのネットワークは、ボットのコピーを実行する各デバイスのボットネットとして知られています。

ボットネットはボットをインストールする何千あるいは何百万のユーザーデバイスを含んでいます。大部分の時間、これらボットネットのクリックボットは、マルウェア伝播の結果、ユーザーが知らないままユーザーのデバイス上で実行されます。大きく有名なボットネットがクリック詐欺に使用されました。たとえば、「Clickbot.A」は100,000台以上のユーザーマシンを感染させたクリック詐欺ボットネットでした。

ボットネットはクリック詐欺に必要なものではありません。単一のボットも違法なクリックを広めることができます。しかしながら、単に1台の機械から来るボットトラフィックは、検知してブロックするのがより簡単です。WebサーバーはそのIPアドレスをブロックすればよいためです。

クリック詐欺は常にボットを使用したものですか?

ボットはクリック詐欺を行うために一般に使用されていますが、さらに、低賃金の労働者もこれを実行することができます。このような労働者のグループは「クリック農場」と呼ばれます。またクリック農場があるのはしばしば賃金が開発途上国のように、比較的安いエリアです。

クリック農場労働者はあるWebページに行き、かつ人為的にそれらのページのクリック率あるいはトラフィック合計を膨張させるために指定のリンクをクリックします。さらに、ソーシャルメディアネットワーク上で、ある投稿あるいはページが目立つように「いいね」クリックを偽装します。

クリック農場の詐欺師にとっての利点は、人間のクリック農場労働者の振る舞いがボットより正当なユーザーを模倣する可能性が高いということです。欠点は、クリック農場はより多くの集中的なリソースが必要で、詐欺師にはそれほど能率的ではないということです。

ほとんどのクリック詐欺では、何十人あるいは何百人もの人間の労働者を使うことはできませんし、少数の命令行を書き、クリックボットを作成するほうがはるかに簡単です。このためボット管理は、クリック詐欺を防ぐことを期待する会社にとって非常に重要です。

クリック詐欺は会社にどれだけの金銭的損害を与えますか?

クリック詐欺は広告ネットワークで数十億の被害を出しています - 広告主は2018年だけで不正行為により$190億失ったと推測されました。詐欺師がボットネットを所有しているか、IPアドレスをハイジャックした場合、大規模のクリック詐欺を行うことができます。2018年後半に発覚した長期的な詐欺では、広告不正行為によって単一の犯罪組織が2900万ドル以上を得ていました。

同様に、PPC広告キャンペーンをする会社が、ボットから来る詐欺のクリックの代価を払っていることがあります。ある情報源で、2016年には販売業者は広告不正行為で72億ドルを失ったと報告しました。

クリック詐欺はWebサイト分析にどのように影響するか?

クリック詐欺は、Webサイト分析を大きく妨げます。ボットがWebプロパティと対話している場合、それらの活動はデータに含まれています。その結果、Webサイト運営者は、ディスプレイ広告の実際の有効性を測定することができず、正当なユーザーの実質的行動を判断することができません。これは内容が、オーディエンス、またはそれがそれらのサイト上のトラフィックおよびユーザー振る舞いに関する正確な情報を得ようとして測定を行う会社にとって問題です。

ボット活動を管理するための戦略は、インターネット上に利用可能なWebサイトやアプリケーションあるいはAPIにとって非常に重要です。クリック詐欺のように悪意のあるボットトラフィックを緩和する能力がなければ、ボットは顧客体験に悪影響を及ぼし、会社資金の損失を発生させることがあります。

どのようにクリック詐欺を防止できますか?

一部の広告主は恐らくボットからであるプログラムされたクリック検知を自動化しブロックしています。たとえば、Googleはボットからの広告関連の活動を機械学習とマニュアル調査プロセスで排除しています。Cloudflare Bot Managementも、クリック詐欺を検知し緩和するために機械学習を使用します。ユーザーの活動が通常のユーザー活動(たとえばユーザーが広告をクリックする行動)とは非常に異なる場合、機械学習プログラムではボットの疑いがあるユーザーとしてマークされます。

*https://www.theatlantic.com/technology/archive/2017/01/bots-bots-bots/515043/

** https://www.theverge.com/2017/5/24/15681080/ad-fraud-websites-traffic-bots-white-ops-report