ドメインスプーフィング（なりすまし）のような、特定タイプのプログラマティック広告詐欺の一掃に向けた、デジタル広告業界におけるads.txt採用は、意図したパブリッシャーに広告主の広告と資金が流れるようにするうえで効果的だとわかっている。だが、完璧ではない。

「モバイルアプリのインベントリー（在庫）への対応不足を別にすれば、ads.txtのもっとも根本的な抜け穴は、信頼が必要な点だ。他者が［パブリッシャーのads.txtファイルと照らし合わせて］認証していることではなく、詐欺に関与していないことを信じる必要がある」と語るのは、アドテク企業シェアスルー（Sharethrough）の最高製品責任者で、インタラクティブ広告協議会（IAB）テックラボの作業グループのメンバーであるカート・ラーソン氏だ。

「OpenRTB 3.0」をIABテックラボが正式にリリースしたら、信頼に関するそうした抜け穴はふさがれる見込みだ。OpenRTB 3.0は、自動化された広告プロセスを補強する業界標準の枠組みで、正式リリースが近づいている。パブリックコメントを求めて、2017年9月にドラフト版のOpenRTB 3.0を公開したあと、7月24日にベータ版がリリースされたと、IABテックラボのCTOであるサム・ティングレフ氏は述べる。

Advertisement

真正性証明ツール

OpenRTB 3.0には「ads.cert」が含まれ、ads.txt詐欺の可能性に対応する。そのプロセスは、ads.certが、プログラマティック管理チェーンを通じてパブリッシャーのインベントリーの真正性を証明し、プログラマティックサプライチェーン内の企業が「なりすまし」のインベントリーを「本物」として取り扱うことがないようにするという。

「ads.txtは一種の店舗名簿だ。ロレックス（Rolex）は、同社の高級腕時計を購入できる認定店だと言っている。だが、認定店が、密かに偽物のロレックスを販売している可能性もある。ads.certは、メーカーまで追跡可能な真正性証明ツールだ」と語るのは、DSPプロバイダーのセントロ（Centro）でRTBプラットフォーム運営のディレクターを務め、IABテックラボのOpenRTB作業グループのメンバーでもあるイアン・トライダー氏だ。

OpenRTB 3.0のads.certが真正性を証明すれば、「チェーン内の誰かを信頼する必要性がなくなる」とラーソン氏は指摘する。もちろん、それには、公式アップデートのリリース（※24日にリリースされたのはベータ版）とアドテク企業の採用が条件となる。それまでは、アドテク企業インパクト（Impact）の広告詐欺検出部門フォレンジック（Forensiq）が言及して、7月に入って注目を集めた「信頼の抜け穴」は存在したままだ。

ads.txtの抜け穴

Adweekの記事によるとフォレンジックは、モバイルアプリがウェブパブリッシャーを装い、アドエクスチェンジやサプライサイドプラットフォーム（以下、SSP）を騙して、アプリ内のインベントリーを別のパブリッシャーの真正なウェブインベントリーのように見せかけることが可能だと主張した。だが、フォレンジックの言う抜け穴は、エクスチェンジやSSP、広告主が選んだデマンドサイドプラットフォーム（以下、DSP）がパブリッシャーのads.txtファイルをチェックして、モバイルアプリが装っているパブリッシャーであるかどうかを判断したりしないことが前提となる。フォレンジックが提供した下の画像で、そう説明されている。

IABテックラボの作業グループでads.txtを扱うメンバーによると、この前提によって、そういった抜け穴が存在するとの主張に穴が生じるという。インベントリーがパブリッシャーからさまざまなアドテクプラットフォームを経由して広告主に提供されるときに、ads.txtファイルを相互参照するのが、「ads.txtの仕様の核心」だと、ティングレフ氏は語る。

それについて、フォレンジックは、こういったads.txt詐欺が行われていると証明できていない。だが、フォレンジックの製品およびデータサイエンス担当ディレクターであるアミット・ジョッシ氏によると、それが可能であることを示し、プログラマティックサプライチェーンの誰もがパブリッシャーのads.txtファイルに照らして認証する必要性を強調するのが目的だという。「サプライチェーンの誰もが確認していれば、ads.txtが真の効果を発揮する。それしか道はない」と同氏は語る。

認証する責任の所在

そうした状況は明らかなものであるように思えるかもしれないが、ads.txtの説明書を読んだ者が見落として、パブリッシャーのads.txtファイルに照らして認証する責任があるのは、広告主が利用するDSPだけだと思いこむ恐れもある。

プログラマティックサプライチェーンのすべての企業がパブリッシャーのads.txtファイルに照らして認証する責任を追う、というads.txtの仕様への記載は、「次回の仕様リリースで明確にするのが当然なことなのは確かだ。このような仕様の作成は常に、継続的な改善のプロセスであり、このプロセスへの参加を歓迎する」とティングレフ氏は語る。

「ads.txtの仕様の性質上、最終的には、認証はバイサイドで有効化しなければならないと思われる。つまり、サプライチェーンの中間段階では、詐欺的なインベントリーの蔓延防止に関心が向けられていないので、バイヤーのDSPが認証を行なわなければならない」と、トライダー氏は指摘する。

中間業者の信頼性

理論的には、広告主のDSPが特定のエクスチェンジやSSPからパブリッシャーのインベントリーの購入を検討していれば、そのエクスチェンジやSSPと、対応するセラーIDが、パブリッシャーのads.txtファイルに記載されているか確認できる。記載されていれば、そのインベントリーは真正と見られ、記載されていなければ真正でない可能性がある。だが、これは、エクスチェンジやSSPが、対象となるパブリッシャーの振りをした別のパブリッシャーのインベントリーを販売するために、本物のインベントリーと偽のインベントリーをひとまとめにするなどして、そうした情報を改ざんしていないことが前提となる。

「ads.txtが解決策になるのは、不正なパブリッシャーやドメインのスプーフィングを扱う広告ネットワークだ。だが、DSPが購入時に利用するエクスチェンジが詐欺の共犯で、詐欺に積極的に関与していたら、ads.txtでは検知できない」と、ラーソン氏はいう。

この記事のためにインタビューした幹部のなかに、こういったads.txt詐欺に関与してきたエクスチェンジやSSPを知っている者は1人もいなかった。

Tim Peterson（原文 / 訳：ガリレオ）