業界震撼! 過去最大級の広告詐欺スキーム「メスボット」:損害額は1日約6億円? 

アドフラウド(広告詐欺)は新しいものではない。しかし、アドフラウドの検知を行う企業ホワイトオプス(WhiteOps)が、過去最大とするアドフラウドのスキームを発見した。「メスボット(Methbot)」と名づけられたこのアドフラウドは10月以降、動画広告の視聴を偽装して、広告エージェンシーとブランドから1日に300万~500万ドル(約3億5000万~5億9000万円)をだまし取ってきたと考えられている。

このニュースに、エージェンシー各社は危機感を募らせた。彼らは、マーケターが消費者にリーチするため、プログラマティック広告技術に依存していることへの新たな警鐘と考えるべきだと述べた。

詐欺が進化してプロ化

エージェンシーのヒュージ(Huge)でデータサイエンスのマネージングディレクターを務めるマイケル・ホーン氏は、メスボットによる被害とされる金額の大きさと、これまで比較的詐欺がないとされていた、うまみの多い動画広告をメスボットが攻撃している点を指摘。これらの状況から、今回のレポートで注目すべきは「規模と洗練度の点で詐欺が大きく進歩していること。これは詐欺のプロ化だ」と述べている。

メスボットがこれまでに広告主から吸い上げたとホワイトオプスが報告している数字に基づき、ホーン氏は「彼らが集めた金額は、ベンチャーキャピタルの支援を受けたかなり大きなプログラマティック広告技術企業に相当する」と話す。

ホワイトオプスのレポートによると、この攻撃の背後にいるハッカーグループは、フォーチュン(Fortune)、エコノミスト(The Economist)やESPN、さらにはFacebookまで、一流どころを含む6000のメディアを襲った。ただし、このレポートは影響のあった広告主の名前は公表していない。

まっとうなサイトも標的

広告ホールディングス世界最大手WPPのメディアバイイングユニットであるグループエム(GroupM)は、詐欺対策を重点課題とする業界横断団体トラストワージーアカウンタビリティーグループ(Trustworthy Accountability Group:以下、TAG)の創設メンバーとして、アドフラウドとの戦いにおけるリーダーを自認している。そのためグループエムは、デジタルバイイングの大半をブランド化された一流広告インベントリー(在庫)を提供するパートナー約60社に限定していると、同社の広報担当者は述べた。

しかし、今回の事態が明らかにしたのは、まっとうなサイトであっても詐欺の食い物にされる可能性があること。グループエムは現在、TAGがリリースしたブランドセーフティのツールを利用しているという。このツールは、ホワイトオプスのレポートを受けて、広告資金がメスボットに流出するのを防ぐ目的でTAGが開発したものだ。

グループエムのグローバルブランドセーフティ責任者、ジョン・モンゴメリー氏によると、ハッカーに影響を受けたグループエムのインベントリーは非常に少ないとみられるが、それでも同社は「きわめて深刻に」受け止めているという。

「動画があるため、我々のマーケットプレイスは価値の高い標的になっている」と、モンゴメリー氏は説明。「私にはまだ、これを大規模な詐欺と呼ぶ準備ができていない。それでも、我々は引き続き用心深くあるべきだ。これが最後の騒ぎになるということはないのだから」。

高度な大規模サイバー攻撃

メディアプランニング&購入エージェンシーのメディアソシエイツ(Mediassociates)でイノベーション部門を率いるエリック・スミス氏は、これはデジタルエコシステムを標的にした高度な大規模サイバー攻撃のはじまりにすぎないと考えている。メディアソシエイツはクライアントに対し、サードパーティーの詐欺検知サービスを使うよう求めているが、スミス氏によると、DSP(デマンドサイドプラットフォーム)が率先して、メスボットなどの詐欺をブロックする必要があるという。

ただしホーン氏によると、ホワイトオプスのレポートは、詐欺検知ツールでさえ絶対確実ではないということを示しているという。その理由は、詐欺を働く側も同じ技術を使うようになっているからだ。

メスボットのスキームが喚起した疑問は、アドブロックの問題に加え、詐欺のコストを考えたとき、本当にプログラマティック広告は広告主が想定するような効率をもたらしているのかというもの。広告主は効率について熟考すべきであり、そうすればゆくゆくは、コンテンツやパートナーシップなど、より直接的な形でメディア企業に対価を払うことになるだろう、とホーン氏は考えている。

「プログラマティックはミックスの重要な一部だ」と、ホーン氏は指摘する。「しかし、反射的に手を出してはならない」。

ブランドは警戒を強めるべき

モンゴメリー氏は、攻撃に怯えて広告主がプログラマティックから離れることはないはずだと予想する。ただし、広告主はリスクを意識し、ボットネットを識別できるテックベンダーを採用するなど、警戒を強めるべきだという。一方でサプライヤー側も、そうした対策ツールを使って、競売にかける前に広告インベントリーを選別しなければならない。「思うに、当社のクライアントが皆、全力で対策ツールを使うとは限らない」と、モンゴメリー氏は語る。

つまるところ、今回のような攻撃はまた、次の2点も示しているとスミス氏は指摘する。ひとつは、クッキーによってこうした攻撃が非常に容易になっているので、クッキーがデジタルターゲティングへの解答にはならないということ。もうひとつは、クッキーに比べて、ソーシャルIDがより好ましいということだ。「ソーシャルIDは、一定レベルの検証として利用できる長寿命と、より強力な活動信号を備えている。これは現在、クッキーのデータと90日間のライフスパンでは得られない利点だ」。

Lucia Moses (原文 / 訳:ガリレオ)
Image from Getty Images