クリック詐欺とは？ | クリックボットの仕組み

クリック詐欺とは？

クリック詐欺では人あるいはボットが、Webページ上の正当な訪問者を装い、広告、ボタンあるいはその他のタイプのハイパーリンクをクリックします。クリック詐欺の目的は、プラットフォームかサービスを騙して、実在するユーザーがWebページ、広告あるいはアプリと対話していると思わせることです。

クリック詐欺は、通常大規模で生じます。リンクはそれぞれ一度ではなく何度もクリックされ、多数のリンクがターゲットにされます。このプロセスを自動化するために、詐欺師は何度もリンクを「クリック」するボットをよく使用します。ボットは、すべてのインターネットトラフィックの約50％を占めています。*広告を配信するWebサイトの20％が、不正なクリックボットのみによってアクセスされています。**

クリック詐欺にはさまざまな動機があります。ほとんどの場合、特に広告詐欺では、詐欺師は金銭的利益を求めています。時に、企業がクリック詐欺を使用して、PPC（「ペイパークリック」）広告を不正クリックの標的にすることにより、競合他社の広告予算に損害を及ぼすことがあります。クリック詐欺には、イデオロギーを動機とする場合もあります。たとえば、特定の意向が実際よりも民意を反映しているように見せるために、人為的に投稿にいいねまたは賛成票を投じることができます。サイバー犯罪者は、クリック詐欺を利用して、悪意のあるWebページを検索ランキングで上位に表示し、合法的に見えるようにすることもできます。

クリック詐欺の一般的なタイプ

クリック詐欺の1つの例は、広告詐欺です。Webサイトオペレーターが、自分のWebサイトのPPCディスプレイ広告で不正なクリックを促す場合です。クリック詐欺の犯人は、PPC広告を表示するWebページを設定し、クリックボットを使用してそれらの広告を「クリック」することができます。クリックするたびに、広告ネットワークはWebサイト運営者（詐欺師）に支払いをしなければなりません。不正が検出されない場合、不正なクリックが多いほど、広告ネットワークはWebサイトに多くの費用を支払う必要があります。

広告詐欺は、広告代金を支払う会社に対する金銭的攻撃でもあります。このようなシナリオでは、詐欺師は自分が所有していないWebプロパティのPPC広告をターゲットにします。詐欺師はクリックによって収入を得ようとしているのではなく、標的企業にとって、クリックごとに広告ネットワークにお金を払うことにより費用負荷がかかります。

クリック詐欺の別の使用例は、誰かがクリックスルー率を人為的に高めて検索エンジンのランキングをごまかそうとする場合です。「クリックスルー率」は、ページへのすべての訪問者のうち特定のリンクをクリックしたユーザーの数を示します。クリックスルー率は、Googleなどの検索エンジンが考慮に入れるランキング要因ですが、どれくらいの要因であるかはわかりません。このシナリオでのクリック詐欺の目標は、Webページのクリックスルー率を高め、それによって検索エンジンのランキングを上げ、より多くの実際のユーザーがページにアクセスするようにすることです。

クリックボットとは？

クリックボットは、クリック詐欺を実行するようにプログラムされたボットです。最も単純なクリックボットは、Webページにアクセスし、目的のリンクをクリックするだけです。よくデザインされたクリックボットも、実際のユーザーが実行する動き（マウスの動き、アクションを実行する前のランダムな中断、各クリック間のタイミングの混合など）を実行するようにプログラムされます。このようにして、ボットを作成した詐欺師は、ボットのクリックを正当なユーザーからのものとして偽装しようとしています。

単一のデバイスからの数百または数千のクリックはすぐに疑わしく見えるため、クリック詐欺行為では通常、多くのデバイスにインストールされたボットが使用されます。これらのデバイスにはそれぞれ異なるIPアドレスがあるため、クリックごとに異なるユーザーからのものであるように見えます。各デバイスがボットのコピーを実行しているこのようなデバイスのネットワークは、ボットネットとして知られています。

ボットネットには、ボットがインストールされている数千または数百万のユーザーデバイスが含まれます。ほとんどの場合、これらのボットネット上のクリックボットは、マルウェア感染の結果としてユーザーの知らないうちにデバイス上で実行されます。これまでに、いくつかのよく知られたボットネットがクリック詐欺に使われました。たとえば、「Clickbot.A」は100,000以上のユーザーマシンを感染させたクリック詐欺ボットネットでした。

クリック詐欺にはボットネットは必須ではありません。単一のボットが不正なクリックを伝達することも可能です。ですが、1台のマシンからくるボットトラフィックを検出およびブロックする方が簡単です。Webサーバーは、ただそのIPアドレスへのサービス提供を停止すればよいのです。

クリック詐欺は常にボットを使用したものなのか？

ボットは一般的にクリック詐欺を実行するために使用されますが、低賃金の人間の労働者によって実行されることもあります。このような労働者の集団を「クリックファーム」と呼び、クリックファームは多くの場合、発展途上国などの賃金が比較的安い地域を拠点に活動します。

クリックファーム労働者は、特定のWebページを訪れ、指定されたリンクをクリックして、それらのページのクリックスルー率またはトラフィック合計を人為的に増加させるように指示されます。彼らはまた、ソーシャルメディアネットワーク上でも活動していて、特定の記事やページに「いいね」することでその可視性を高めることもあります。

詐欺師の観点から見たクリックファームの利点は、人間のクリックファーム労働者の挙動が、ボットの挙動に比べて正当なユーザーの模倣に説得力を持つ可能性が高いことです。欠点は、クリックファームの使用は、詐欺師にとってはるかに効率が悪く、リソースを大量に消費することです。

ほとんどのクリック詐欺師は、数十人または数百人の労働者を利用することができないので、数行のコードを記述してクリックボットを作成する方がはるかに簡単です。このため、クリック詐欺の防止を目指す企業にとってボット管理は非常に重要です。

クリック詐欺により企業はどれだけの金銭的損害を受けるのか？

クリック詐欺は、広告ネットワークにとって数十億の損害をもたらします。広告主は、詐欺により、2018年だけで 190億ドルの損失を被ると推定されました。詐欺師がボットネットを所有している場合、またはIPアドレスをハイジャックした場合、大規模にクリック詐欺を実行できます：2018年後半に発見された長期的な詐欺では、1つの犯罪組織が広告詐欺によって2900万ドル以上を獲得しました。

同様に、PPC広告キャンペーンを実施している企業も、ボットからの不正なクリックに対して支払いを行っています。ある報告によれば、2016年にはマーケターは広告詐欺によって72億ドルを失ったとされています。

クリック詐欺はWebサイト分析にどのように影響するか？

クリック詐欺は、Webサイト分析で大混乱を引き起こす可能性があります。ボットがWebプロパティを操作すると、そのアクティビティはデータに残ります。その結果、Webサイトの運営者は、ディスプレイ広告の実際の効果を測定したり、正当なユーザーの実際の挙動を判断することはできません。これは、コンテンツがどの程度視聴者を引き付けているかを測定したい企業や、サイト上のトラフィックとユーザーの挙動に関する正確な情報が必要な企業にとっては問題です。

ボット活動を管理するための戦略は、インターネット上に利用可能なWebサイトやアプリケーションあるいはAPIにとって非常に重要です。クリック詐欺のように悪意のあるボットトラフィックを緩和する能力がなければ、ボットは顧客体験に悪影響を及ぼし、会社資金の損失を発生させることがあります。

クリック詐欺防止の仕組みは？

一部の広告主は、ボットによると思われるクリックをブロックする自動検出プログラムを導入しています。たとえば、Googleは、手動のレビュープロセスと合わせて機械学習を使用して、ボットからの広告関連アクティビティを除外しています。Cloudflare Bot Managementは、機械学習を使用してクリック詐欺を検出および軽減します。このような機械学習プログラムでは、ユーザーのアクティビティが一般的なユーザーアクティビティと大きく異なる場合（たとえば、ユーザーが広告をクリックするだけの場合）、そのユーザーはボットの可能性が高いとマークされます。

クリック詐欺からの防御の必要性は、企業組織だけにあるわけではありません。小規模なサイトでは、Cloudflare ProおよびBusinessプランでの利用が可能になったSuper Bot Fight Modeを利用して、ボットトラフィックを分析し、ボットによる攻撃を防御することができます。

*https://www.theatlantic.com/technology/archive/2017/01/bots-bots-bots/515043/

** https://www.theverge.com/2017/5/24/15681080/ad-fraud-websites-traffic-bots-white-ops-report