【一問一答】クッキーを不正利用する犯罪行為「クッキースタッフィング」とは?

デジタルマーケティングの未来に示唆を与える用語をわかりやすく説明する「一問一答」シリーズ。今回のテーマは、クッキーを不正利用する犯罪行為「クッキースタッフィング」です。

どんな方法であれ、オンラインでお金がやり取りされる以上、そこからいかさま師たちは、一部をかすめ取る方法を見つけようとします。実際、デジタル広告の世界において、フラウド(詐欺)が頭痛の種のひとつ。このフラウドは、アフィリエイト・マーケティング契約に基づいて提携しているパブリッシャーやマーケターにとってもまた、厄介な問題なのです。

よく使われる手口のひとつが「クッキースタッフィング」。今回は、そのクッキーを不正利用する犯罪行為について解説します。

というか、そもそも「クッキー」とは、お菓子のことではないのですか?

IT用語で「クッキー」とは、Webサイトがユーザーのブラウザ内に残す小さなコードのこと。サイト側は、このクッキーを利用して、ログインの詳細や買い物カート、趣味や嗜好といったユーザーデータを蓄えます。さまざまな広告会社もまた、「追跡用」クッキーを使ってデータを集め、人々のWeb閲覧履歴に目を光らせ、それを基にターゲット広告を表示するのです。クッキーはパブリッシャーも利用しており、アフィリエイト・マーケティングのリンクをユーザーがいつクリックしたかを小売業者に教えています。

じゃあ、その「アフィリエイト・マーケティング」って何ですか?

この説明にはたくさんの専門用語が必要です。アフィリエイトとは、あるビジネスが別のビジネスに対して、クリック1回につきいくらというかたちで支払うもの。または、相手が小売業者の場合は、リンクを経由して送客を行い、その上で販売が成立した際などにお金が支払われるプロセスのことです。たとえば、パブリッシャーXがAmazonに数人の訪問者を送り込み、そこで彼らが歯磨き粉を購入したとすると、その売上金の一部、たいていは1ドルあたり数セント程度をパブリッシャーXが受け取るという仕組みです。

また、基本的にクッキーには、有効期限が用意されています。たとえ、クッキーを付けたユーザーがAmazonへ訪れて、なにも購入しなかったとしても、期限内に再訪して購入を完了させた場合には、そのクッキーを付与したサイトへ報酬が支払われるのです。

それで、「クッキースタッフィング」とは?

ここで、また別のパブリッシャーZを登場します。このZが「クッキースタッフィング」を実行すると、実際にAmazonへ訪問者を送り込んだのは、パブリッシャーXが掲載した広告の効果だとしても、販売に対するクレジット(つまりはお金)は、パブリッシャーZが受け取ることになるのです。

その手口は、パブリッシャーXの正当なクッキーを保持した閲覧者が、Zのページを訪れたときやリンクをクリックしたときに、たくさんの不正クッキーでパブリッシャーXのクッキーを上書きするというもの。そうしておけば、いずれその閲覧者が目的の商用サイトのひとつを訪ね、購入を完了させたときに、パブリッシャーXに支払われるはずの報酬をパブリッシャーZが横取りできるのです。

アドフラウド(広告詐欺)対策ソリューションを提供するフォレンジック(Forensiq)のディビッド・センドロフ氏は、次のように説明します。「クッキースタッフィングは不当な属性を作り出します。これは本質的に、まったく別人の属性に対するクレジットを盗む行為です」。知らない間にこっそりと仕込まれるクッキーは、しばしば、正規のパブリッシャーが残していくものに取って代わる、とセンドロフ氏は述べます。

不正クッキーはどこから来るのですか?

不正クッキーが仕組まれる場所は、ポップアップやスクリプト、ツールバー、メッセージボードに埋め込まれた画像など、実にさまざまです。また、クッキースタッフィングは、オンラインのクーポンサイトでよく行われています。詐欺師たちはこうした場所を利用して、たくさんのアフィリエイトクッキーを仕込んでいきます。

それがなぜ問題なのですか?

アフィリエイトリンクを利用するパブリッシャーが、どんどん増えているから問題なのです。たとえば、とあるメディアは、毎日CMSを通じて長いアフィリエイトリンクのリストを編纂し、読者が何かを購入した時にはいつもそのおこぼれに預かっています。アフィリエイトリンクを利用した詐欺の増加は、パブリッシャーの収入減少を意味します。

でも、それは小さい問題では?

それは違います。ショーン・ホーガンという男は、オンラインマーケティングの予算2800万ドル(約33億円)をeBayからだまし取りました。eBayはFBIと協力して、おとり捜査でホーガンを捕まえ、ホーガンは、5カ月の禁固刑(3年の執行猶予付き)という有罪判決と、2万5000ドル(約296万円)の罰金支払いを言い渡されました。

では、クッキースタッフィングが根絶されないのはなぜですか?

ホーガンのように捕まった人は例外的存在だから。アフィリエイトリンクを利用する詐欺師を捕まえるのはとても難しいのです。広告業者にとっては、コンバージョン率が異常に高い、もしくは異常に低いということが、クッキースタッフィングが行われている兆しになりますが、それも詐欺師が使うテクニックの種類によって変わってきます。

「クッキースタッフィングでは、別のアフィリエイト、あるいは、発生した販売に対する手数料を実際に払っている広告業者に対して、罪を犯していることになります。目立つ行為ではないですし、広告業者はそれでもまだいくらかの利益を得ていることもあり、捕まえるのが難しいのです」と、先述のセンドロフ氏は言っています。

【 「一問一答」シリーズの<記事一覧>はこちら

Ricardo Bilton(原文 / 訳:ガリレオ)
Image from Rajiv Patel / flickr