今週の初めに本誌は、Facebookで大量のクリック詐欺が発生していることを報じたが、おそらく読者の脳には、理解よりもむしろ、たくさんの疑問が生じただろう。これは現に起きている問題であり、Facebookもそれを確認しているが、それがどのようにして、なぜ、起きているのかがよく分からない。そこで本誌は、何人かの広告主と詐欺師たちに取材をして、クリック詐欺のやり方と、それをやる理由について聞いた。
まず理由からだ。クリック詐欺は大手検索エンジンの広告ネットワークを舞台とする、犯罪者たちの重要な収入源である。まず、Adsenseのアカウントをもらって、目的の広告をパークドメイン(parked domain)*のページなどに載せる。次に、ボット(bot==ロボット)または安い労働力を使ってそれらの広告を狂気のようにクリックしまくる。検索エンジンは、やって当然のような方法と、あまり当然でもない方法を使って、これと戦う。そして、いたちごっこが始まる。犯罪が成功するコツは、大量の良質なIPアドレスにアクセスすることと、あまり欲張らないことだ。インフレと政府の関係と同じく、(一つのIP上の)小規模なクリック詐欺ならGoogleなどが見逃してくれる。そこで、(大量のIPを駆使する)犯罪者はぼろもうけできる。〔*: 取得しただけでまったく内容のない、“駐車(park)”した状態のままのドメイン。〕
しかしFacebookの場合は、これとは違う。今のところFacebookにはAdsennseのような仕組みがない。一部のアプリケーションデベロッパはFacebookの広告を載せて収入を得ているが、ユーザが収入を得る広告といえばそれぐらいだ。でもそれは、数がとても少なくて監視しやすいから、長期にわたるクリック詐欺はまず不可能だ。
では何が動機なのか? 何人かのFacebook上の広告主たちが説明してくれたところによると、広告主たちは競合他社の広告をクリックして彼らの費用を高騰させ、ROIを低下させる。それをやられた広告主たちが嫌気がさして降りたら、料金が下がって残った者が得をする。
しかし、以上はあくまでも理論だ。実際に起こっていることは、ミクロ経済で必ず勉強するゲームの理論でうまく説明できる。広告主たちは、お互いにクリック詐欺をやんないほうが得だと自覚している。しかし、“一人だけ正しいことをする者”は、深刻な不利を被る。そこでFacebookがそれを止めようとしないかぎり、広告主たちはこぞってクリック詐欺に参加し、金銭的な不利を避けようとする。
中には、日額3万ドルの広告料金をFacebookに払っている広告主もいる(セルフサービス型広告の上限)。そして、相当量の資本リスクを抱えている。彼らにとって重要なのは、資本の安全と毎月の収益だ。
しかも彼らの多くは、実際に製品を作ったり売ったりしている企業ではなく、アフィリエイトマーケターたちだ。広告をクリックした見込み客や購入客をスポンサー企業に渡して鞘取り(例:購入代金のnパーセント)をする。だから彼らはROIを気にせざるをえない。彼らはFacebookにクリック単価を払うが、スポンサーの売上に貢献する結果がないと収入は得られない。クリック詐欺は、彼らを簡単に干上がらせてしまう。
Facebookのクリック詐欺入門:
広告主たちは次のようにしてクリック詐欺を行う:
まず、広告を見つけること自体が難しい。検索エンジンの場合はパークドメインのページに広告があったり、クェリをタイプすると広告が出る。しかしFacebook上の広告はユーザの趣味嗜好などによって対象が細かく絞られているので(例:サンディエゴに住む独身男性でXboxとU2が好き)、それらの特性にマッチした人でなければ広告を見ることはない。
そこで悪者は、いろんなプロフィールを持った何千ものニセのFacebookアカウントを作る。たいへんな作業のようだが、実は高度に自動化されている。ある広告主は、インドから2000のFacebookアカウントを作ってもらうために200ドル払ったと言っている。もう一人は、ユニークなメールアカウントを提供できればニセFacebookアカウントの作成費用は100につき10ドルだと言った。そうやって作ったアカウントに、ソフトウェアを使ってさまざまなプロフィール情報を入れ込む。アカウントの管理も、そのソフトウェアが行う。
次に、詐欺師はこれらのアカウントからFacebookにログインして広告を表示させる。競合他社の広告があったら大当たり!、ソフトがそれをばんばんクリックする。ただしFaceookのルールでは、一人のユーザが一つの広告をクリックできるのは一日6回までだ。それらのクリックが、広告料金として課金される。やることは、アカウントを取って、広告を見て、上限までクリックすることだけだ。Facebookには、広告を見つけやすくするための仕組みすらある。”Ad Board”をクリックすると、そのユーザのページに載っている広告の一覧を見れるのだ(ぼくのは広告が15ある)。
最近では詐欺師たちの“芸”が“科学”の域にまで達していて、いちいちURLが解決されるのを待たずに次々と素早く次の広告をクリックしていく。Facebookはそのクリックを感知して課金するが、広告主側のサーバにはページビューが発生しない。広告主をいちばん悩ませるのがこれだ。本誌の最初の記事で、ある広告主がこう語っている: “ボットのクリックでも、実際にうちのページへのトラフィックとして来るのならまだましだ。しかし現状では、Facebookはうちが払っているクリックの20%を盗んでいる。その被害は数千ドルにはなるね。”
本誌が取材した詐欺師たちは、昨年からやっているがまだアカウントを遮断されたことは一度もないと言っている。“2000のうち2つが閉鎖された”と言った人もいる。
Facebook側の対策:
本誌は今週、クリック詐欺対策についてFacebookに何度も取材した。また、詐欺の手口を記事にすることで、事態の一層の悪化など、Facebookに被害が及ばないことを確認してもらった。
Facebookによれば、この詐欺は現在鎮圧されている。詐欺を監視する方法の一つは、広告のクリックから見込み客や購入客への変換を見ることだ…一部の広告は別のFacebookページへリンクしていて、そこにプレゼントの企画やアンケートなどがある。そういうページの上で何もアクションが起きなければ、ニセのアカウント臭い。Facebookは、先週土曜日(米国時間6/20)に行った変更によって見込み客等への変換の率は安定化しており、したがって詐欺は減っている、と言っている。
Facebookの詐欺に対する戦術はいろいろある。ただし、それを公開すると詐欺師たちがその破り方を発明するから、記事にはするなと言われた。セキュリティの専門家に聞いてみると、Facebookのそれらの戦術はほぼ妥当なものだそうだ。
Facebookが記事にしてもいいと言ったのは、同社が広告の上のクリックを集中的に監視していることと、クリックの仕方がふつうの人間の能力を超えているようなものは不良アカウントとして摘出していることだ。しかし、それらのアカウントを閉鎖する、とは言わなかった。ずっと監視を続けて、それらのクリック数は課金対象として計数しないようにする、それが利口なやり方だし、データを今後さらに集めるためにも得策だと言う。まあ、そうだね。
被害者の広告主には相当額のクレジット(値引き額)が自動的に適用されるとFacebookは言っている。広告主は、Facebookに直接、不安をぶつけることもできる。
今週、クリック詐欺はまったく減らなかったと言う広告主もいれば、ここ数日めっきりと減ったと言う広告主もいる。本誌は今、Facebook上のクリック詐欺を調べるためにダミー広告をセットアップしたグループに協力している。今夜(米国時間6/26)の時点では、Facebookが報告するクリック数と、サーバ上のログの数値が合っていない。だから、問題はまだ完全には解決していないし、たぶん解決しないだろう。これはいたちごっこだが、少なくともFacebookは問題の存在を認めているし、積極的に戦ってもいるのだ。
[原文へ]
(翻訳:iwatani(a.k.a. hiwa))
