見出し画像

不正手口紹介 ‐ 案件すり替え

菩薩さまです。こんにちは。

今回は、過去発生した「案件すり替え」という不正の手口について紹介していきたいと思います。

この不正は、ユーザーがインターネット広告経由で、サービスの資料請求や会員登録などのCVに至った際、ユーザーがインセンティブを受け取れる「リワード広告」で発生していました。

広告案件の中には無料で1ヶ月お試しできるサービスから、月額50,000円といった高額なサービスもあり、当然ですが月額50,000円サービスの方が、成果達成ハードルが高い分、ユーザーへ還元されるインセンティブも大きくなります。

無料お試しサービスのようなハードルの低さで、月額50,000円サービスと同じインセンティブが受け取れたら・・・と考えたのでしょうか。広告案件の成果計測の隙を突き、トラッキングを“すり替える”ことで、それを実現する不正が現れました。

まず、その不正の手口を説明する前に、成果計測の仕組みを簡単にお話ししします。

成果計測は弊社だけで行っているわけではなく、他ASP様のシステムや計測ツールと呼ばれるシステムとの連携で行うことが出来ています。

以下が概念図です。

メディア様サイトで広告をクリックしたユーザーには、すぐに広告主のサイトに遷移したように見えていても、実際には複数のシステムをリダイレクトすることで、トラッキングが行われています。

もう少し詳細に見ていきましょう。

BOSATSU、他ASP様、それぞれでセッションIDを発行し、ユーザーの成果発生をトラッキングしています。上記の図のように、BOSATSU→他ASP様でシステムを跨ぐ際にはそれぞれを紐づけ、CV情報を返却の際に通知していただきます。

これを踏まえ、案件すり替えの説明となります。

不正ユーザーは、トラッキングに使われているセッションIDの仕組みを熟知していて、途中まで高額だがハードルの高い案件で進めていました。しかし、 図中の(3) あたりからハードルの低い無料お試しサービスでCVし、その時に高額案件のセッションIDを使って通知を偽装することで、高いインセンティブを得ていたのです。

会員登録の案件を例にお話ししましたが、スマートフォン向けアプリを商材とした案件でもすり替え不正は発生したことがあり、
・インストール後、初回起動で成果(CPIと呼ばれます)
・インストール後、会員登録完了やチュートリアル突破などで成果(CPEと呼ばれます)
この2つをすり替えて、よりインセンティブの高いCPEのものをかすめ取っていました。

BOSATSUでは、高性能なシステムによる自動ブロックに加え、上がってきたデータを目視で分析して新たな不正を見逃さないよう日々運用しています。
これら過去のケースから学び、他ASP様や、アプリ案件の計測を行う広告効果計測ツール様と連携を強めることで、再発防止に務めています。

最後に余談となりますが、案件すり替えが行われていたスマートフォン向けアプリ案件の成果通知をよくよくみると、Google Advertising Identifier(GAID / AAID) が以下のようになっていました。

74ee62ff-768a-4402-acda-258000083913
74ee62ff-768a-4402-acda-258000083912
74ee62ff-768a-4402-acda-258000080257

※ 74ee62ff-768a-4402-acda- まで同じで、末尾12ケタだけ変更している

IDFAやGAIDは、UUID ver4に準拠していて、上記のGAIDも形式としては正しいため、システムによる形式チェックだけだと通過してしまいますが、人間ならパッと見で不正と分かります。

ログを人間の目で見ることも大事だと改めて思いました。

いいなと思ったら応援しよう!