ads.txtファイルは、広告業界が詐欺を撲滅するのに役立つはずだった。しかし、実際には詐欺をますます拡大させるものになっている。

ads.txtはIABテックラボ(IAB Tech Lab)が3年前に導入したツールで、パブリッシャーは広告の販売を承認した企業のリストをこのファイルに登録する。広告主は、広告をパブリッシャーから直接購入するかパブリッシャーの承認を得たアドテクベンダーから購入する前に、ads.txtファイルでこのリストを確認できる。また、ads.txtファイルを使っていないサイトやパブリッシャーの承認なしに販売されているインベントリー(在庫)がある場合は、そのことも知ることができる。

理論的には、ads.txtファイルは、広告主がインベントリーのアービトラージ(裁定取引)やドメインのスプーフィング(なりすまし)を回避するのに役立つものだ。だが現実には、詐欺師にとっても大いに便利なものになっている。ads.txtツールが導入されて以来、詐欺師はバイヤーがこのリストを必ずしもチェックしているわけではないという事実を悪用し、偽のブラウザデータや偽装URLを生成するボットを使ってメディア予算をだまし取ってきた。その最新の例が、「404bot」と呼ばれるタイプの詐欺だ。

「404bot」詐欺の実態

404botは基本的にドメインのスプーフィングを行う詐欺で、詐欺師はパブリッシャーのウェブページに見せかけた偽ページを利用する。ただし、404botではインベントリーがなく、偽装されたウェブページに代わって404エラーページが表示される。詐欺師は、実際にはインベントリーがないにもかかわらず、承認された販売業者からインベントリーが正当に購入されたように見せかけるのだ。

404botはインテグラル・アド・サイエンス(Integral Ad Science:以下、IAS)が2018年にはじめて発見した。それ以来、英国、米国、カナダ、オーストラリアの大小のパブリッシャーが販売する15億ドル(約1620億円)分の動画広告から、1500万ドル(約16.2億円)以上の広告費が奪われている。1人の詐欺師が1年に稼ぎ出す金額が平均で500万ドル〜2000万ドル(約5.4億円〜約21億円)であることを考えれば、それほど大きな額に思われないかもしれない。だが、404botの存在はそうした数字以上の意味を持っている。

なぜなら、ads.txtが不正の温床を取り除くのではなく、不正の兆候が見つかりにくくなる形で使われていることを404botは示しているからだ。

長くなるリストが温床に

パブリッシャーは、取引する予定のないアドテクベンダーの名前もads.txtファイルに登録している。インベントリーへの需要を増やすために未承認の再販業者を利用していると広告バイヤーに思われないようにするためだ。しかも、承認する販売業者の数を増やすほど、利益が増える可能性がある。一方、広告主はパブリッシャーにads.txtファイルのチェックを要請できるほどの専門的知識を持っていないし、今後もそうはならないだろう。チェックが行われれば、広告の購入規模が小さくなる可能性があるからだ。

このような状況で、ads.txtファイルのベンダーリストはますます長くなっており、その結果、詐欺師がリストに紛れ込みやすくなっている。そして、リストが長くなるほど、未承認の販売業者を見つけ出すのは困難だ。

「ads.txtファイルのリストに1000を超えるアドテクベンダーが登録されているのを見たこともある」と、あるメディア幹部は述べている。

実際、404botによるなりすましの被害に遭ったすべてのパブリッシャーに共通するのは、ads.txtファイルに膨大な数のアドテクベンダーを登録していたことだと、広告認証企業のIASは指摘する。同社がパブリッシャーと共同で、彼らのインプレッションを販売しているエクスチェンジを詳しく調査したところ、そうしたパブリッシャーのあいだでは404botのインスタンスは「それほど活発に活動していなかった」と、IASでEMEAおよびAPAC地域のマーケティング担当バイスプレジデントを務めるビクトリア・チャッペル氏はいう。

「膨大な数の再販業者を識別するために固有の番号を割り振ることはできないとはいえ、今回の発見で、はたしてパブリッシャーは再販業者を詳しく調査しているのだろうかという疑問がわき起こった。調査しないのなら、ads.txtを使用する意味はない」と、チャッペル氏は話す。

この手の詐欺が横行する理由

ads.txtファイルを利用した詐欺は、404botがはじめてではない。ads.txtが2017年に導入されて以来、さまざまな悪徳業者がパブリッシャーのads.txtファイルに自社の名前を登録させようとしてきた。

「この手の詐欺が成功している理由は、メディアを売買している企業が取引状況をチェックする体制をきちんと整えていない現状が利用されているからだ」と、プログラマティックエージェンシーのインフェクシャスメディア(Infectious Media)で製品およびパートナーシップ担当マネージングディレクターを務めるダン・ラーデン氏はいう。「プログラマティック広告主はアドテクベンダーに対し、ログレベルのデータをもっと提供するよう要求する必要がある。そうすれば、メディア購入の無駄がどこで発生しているのか把握できるようになる」とラーデン氏は語った。

Seb Joseph(原文 / 訳:ガリレオ)