クリック詐欺は、インターネット上のクリック課金型(PPC)オンライン広告で発生する広告詐欺の一種です。このタイプの広告では、広告を掲載するウェブサイトの所有者は、サイト訪問者が広告をクリックした数に基づいて報酬を受け取ります。詐欺は、人、自動スクリプト、コンピュータプログラム、またはオートクリッカーがウェブブラウザの正当なユーザーを模倣し、広告リンクのターゲットに実際には興味がないにもかかわらず、収益を増やすためにそのような広告をクリックすることで発生します。[1]クリック詐欺は、広告ネットワークが詐欺の主要な受益者であることから 、論争と訴訟の増加の対象となっています。
メディア起業家でジャーナリストのジョン・バテル氏は、クリック詐欺を、ロボットや低賃金労働者を雇って自社サイト上の広告を繰り返しクリックさせることで、出版社が有料検索広告を操作し、それによって広告主が出版社や広告主が使用している可能性のある代理店に支払う金銭を生み出すという、意図的に悪意のある「明らかにブラックハット」な行為であると説明しています。

PPC広告とは、ウェブマスター(ウェブサイト運営者)がパブリッシャーとして広告主からのクリック可能なリンクを表示し、クリックごとに料金を受け取る仕組みです。この業界が発展するにつれ、パブリッシャーと広告主という2つのグループを仲介する広告ネットワークが数多く誕生しました。正当なウェブユーザー(とみなされる)が広告をクリックするたびに、広告主は広告ネットワークに料金を支払い、広告ネットワークはパブリッシャーにその収益の一部を受け取ります。この収益分配システムは、クリック詐欺の誘因と見なされています。
最大の広告ネットワークであるGoogleのAdWords / AdSenseとYahoo! Search Marketingは、検索エンジン上で自身もパブリッシャーとして機能しているため、二重の役割を果たしています。[1]批評家によると、この複雑な関係は利益相反を引き起こす可能性があります。これは、これらの企業がパブリッシャーへの支払い時に検知されないクリック詐欺によって損失を被る一方で、広告主から手数料を徴収する際にはより多くの利益を得るためです。徴収額と支払い額の差があるため、無制限のクリック詐欺はこれらの企業に短期的な利益をもたらす可能性があります。[1]
クリック詐欺の第二の原因は、クリック課金型広告契約に関与していない非契約当事者です。この種の詐欺は、加害者が契約違反で訴えられたり、詐欺罪で刑事訴追されたりすることが一般的ではないため、取り締まりがさらに困難です。非契約当事者の例は以下のとおりです。
広告ネットワークはあらゆる関係者による不正行為を阻止しようとしますが、どのクリックが正当なものなのかを判断できないことがよくあります。パブリッシャーによる不正行為とは異なり、過去のクリック不正が発覚した場合、誰が賠償金を支払うべきかを判断するのは困難です。パブリッシャーは、自らの責任ではないものに対して返金を求められることに不満を抱いています。しかし、広告主は偽のクリックに対して賠償金を支払うべきではないと強く主張しています。
クリック詐欺は、一人で小さなウェブサイトを立ち上げ、広告を掲載し、収益を得るために広告をクリックするといった単純なものです。クリック数とその金額が極めて小さいため、詐欺行為が見破られることは少なくありません。掲載側は、このような少量のクリックは偶発的なものだと主張することもありますが、実際にはそうであることが多いのです。[1]
サイバー犯罪コミュニティでは、さらに大規模な詐欺も発生しています。[3]ソルボンヌ大学ビジネススクールのジャン=ルー・リシェ教授によると、クリック詐欺は大規模な広告詐欺チェーンの一環であることが多く、より大規模な個人情報詐欺や帰属詐欺の一部として悪用される可能性があります。[4]大規模な詐欺に関与する者は、Web ページ上の広告を人間がクリックするのをシミュレートするスクリプトを実行することがよくあります。 [5] ただし、1 台または少数のコンピューター、または単一の地理的領域から大量のクリックが発生しているように見える場合、広告ネットワークと広告主には非常に疑わしいものになります。パブリッシャーのコンピューターであるとわかっているコンピューターからのクリックも、クリック詐欺を監視する者には疑わしいものになります。1 台のコンピューターから大規模な詐欺を試みた場合、逮捕される可能性が高くなります。
IPパターンに基づく検出を回避する詐欺の一種は、既存のユーザートラフィックを利用し、クリックやインプレッションに変換するものです。[6]このような攻撃は、 JavaScriptを使ってプログラム的に取得された広告を0サイズのiframeで表示することで、ユーザーから隠蔽することができます。また、いわゆる「リバーススパイダー」には正規のページを表示し、人間の訪問者にはクリック詐欺を行うページを表示することで、広告主やポータルサイトから隠蔽することも可能です。0サイズのiframeや人間の訪問者を巻き込むその他の手法は、インセンティブトラフィックと組み合わせられることもあります。インセンティブトラフィックとは、「Paid to Read」(PTR)サイトの会員がウェブサイトを訪問したり、キーワードや検索結果をクリックしたりすることで、少額(多くの場合、1セント未満)の報酬を得る仕組みで、これは毎日数百回、数千回行われることもあります。[7] PTRサイトの所有者の中には、PPCエンジンの会員であり、検索を行うユーザーには多くのメール広告を送信する一方で、検索を行わないユーザーにはほとんど広告を送信しない場合があります。彼らがこのような行為を行う主な理由は、検索結果のクリック課金がサイトの唯一の収入源となっていることが多いためです。これは「強制検索」と呼ばれ、広告業界では好ましくない行為です。
組織犯罪は、地理的に異なる場所に多数のコンピュータを配備し、それぞれにインターネット接続を提供することで、この脅威に対処します。スクリプトは人間の行動を模倣できないことが多いため、組織犯罪ネットワークはトロイの木馬コードを用いて一般ユーザーのマシンをゾンビコンピュータに変え、散発的なリダイレクトやDNSキャッシュポイズニングを用いて、気づかないユーザーの行動を詐欺師の収益源へと転換します。広告主、広告ネットワーク、そして当局にとって、複数の国にまたがるネットワークを相手取って訴訟を起こすことは困難な場合があります。
インプレッション詐欺とは、虚偽に生成された広告インプレッションが広告主のアカウントに影響を与えることです。クリックスルー率に基づくオークションモデルの場合、特定のキーワードに対するクリックスルー率が許容できないほど低いと、広告主はペナルティを受ける可能性があります。これは、広告をクリックすることなく、キーワードを何度も検索することを意味します。このような広告は自動的に無効化[8]され、同じキーワードに対して競合他社が低入札で入札した広告は継続されますが、検索結果の最初のページに表示される高額入札者の一部は排除されます。
ヒットインフレ攻撃は、一部の広告主が広告主のウェブサイトへのトラフィック誘導によって不当な収益を得るために用いる不正な手法の一種です。単純なインフレ攻撃よりも巧妙で、検知が困難です。
このプロセスは、不正なパブリッシャーPと不正なウェブサイトSという2つのパートナーの協力によって実現されます。S上のウェブページには、顧客をPのウェブサイトへリダイレクトするスクリプトが含まれており、このプロセスは顧客からは隠されています。そのため、ユーザーUがS上のページにアクセスすると、Pのウェブサイトへのクリックまたはリクエストがシミュレートされます。Pのウェブサイトには、操作されたバージョンと元のバージョンの2種類のウェブページがあります。操作されたバージョンは広告へのクリックまたはリクエストをシミュレートし、クリックスルーのクレジットをPに付与します。Pは、操作された(したがって不正な)スクリプトがSからのものであるかどうかを確認することで、Uのブラウザに読み込むかどうかを選択します。これは、 Pへのリンクが取得されたサイトを特定するリファラーフィールドによって行われます。Sからのすべてのリクエストには操作されたスクリプトが読み込まれ、その結果、自動的かつ隠されたリクエストが送信されます。[9]
この攻撃は、Sへの無害な訪問を、Pのページ上の広告のクリックへと無意識のうちに転換します。さらに悪いことに、Pは複数の不正なウェブサイトと提携している可能性があり、それぞれのウェブサイトは複数の不正なパブリッシャーと提携している可能性があります。広告委託者がPのウェブサイトを訪問した場合、不正ではないページが表示されるため、Pが不正行為を行っていると非難されることはありません。このような提携関係の存在を疑う理由がなければ、広告委託者はこのような攻撃を検出するためにすべてのインターネットサイトを検査しなければなりませんが、これは現実的ではありません。[9]
この種の詐欺を検出するためのもう一つの提案された方法は、相関ルールの使用である。[10]
オーガニック検索結果におけるウェブサイトのランキングに影響を与える主要な要因の一つは、CTR(クリックスルー率)です。これはクリック数とインプレッション数の比率、つまり検索結果がクリックされた回数と検索結果に表示された回数の比率です。
競合他社がボットネットや低コストの労働力のサービスを活用して偽のクリックを生成する PPC 詐欺とは対照的に、この場合の目的は、競合他社の CTR 率を可能な限り低くすることで競合他社に対して「近隣窮乏化」ポリシーを採用し、検索結果での順位を下げることです。
そのため、悪意のある行為者は、昇格させたいオーガニック検索結果では偽のクリックを発生させ、降格させたい検索結果ではクリックを回避します。この手法は、実質的に同一の悪意のある行為者によって管理されるビジネスサービスのカルテルを形成したり、特定の政治的意見の宣伝などに利用されたりする可能性があります。この問題の規模は不明ですが、ウェブマスターツールの統計情報を注意深く監視している多くのウェブサイト開発者にとっては明らかな事実です。
2004年、カリフォルニア州在住のマイケル・アンソニー・ブラッドリーは、スパマーが不正クリックでGoogleから数百万ドルを詐取できるソフトウェアプログラムであるGoogle Cliqueを作成したが、最終的に逮捕され起訴された。[18]
ブラッドリーは、詐欺行為は可能であり、Googleには検知不可能であることを実証した。司法省は、ブラッドリーがGoogleに連絡を取り、技術の権利を10万ドルで買い取らなければスパマーに売却し、Googleに数百万ドルの損害を与えると脅迫したと主張した。その結果、ブラッドリーは2006年に恐喝と郵便詐欺の容疑で逮捕された。 [19]
2006年11月22日、何の説明もなく告訴は取り下げられた。米国連邦検事局とGoogleはいずれもコメントを拒否した。ビジネスウィーク誌は、Googleがクリック詐欺検出技術を公表せざるを得なくなるため、検察への協力を拒んだと報じている。[20]
2016年6月18日、イタリア国籍のファビオ・ガスペリーニがクリック詐欺の容疑で米国に引き渡された。 [21]起訴状ではガスペリーニは次のような罪で起訴されている。
米国政府によると、ガスペリーニは世界中に14万台以上のコンピューターからなるボットネットを構築・運営していた。これは米国における最初のクリック詐欺裁判であり、全ての罪で有罪判決を受けた場合、ガスペリーニは最長70年の懲役刑を受ける可能性がある。
イタリア系アメリカ人弁護士のシモーネ・ベルトリーニがガスペリーニの弁護を務めた。2017年8月9日、陪審はガスペリーニに対し、起訴状に記載された全ての重罪で無罪を言い渡した。一方、ガスペリーニは、金銭的利益を得ずに情報を入手したという軽罪で有罪判決を受けた。ガスペリーニは、法定最高刑である懲役1年、罰金10万ドル、そして収監後1年間の保護観察を言い渡された。その後まもなく、服役期間が加算され、イタリアに送還された。第2巡回控訴裁判所は2018年7月2日にこの判決を支持した。 [22] [23]
クリック詐欺の立証は非常に困難です。なぜなら、コンピューターの背後に誰がいて、その意図は何なのかを把握することが難しいからです。モバイル広告詐欺の検出においては、データ分析によって信頼性の高い兆候が得られる可能性があります。異常な指標は、さまざまな種類の詐欺行為の存在を示唆する可能性があります。広告キャンペーンにおけるクリック詐欺を検出するために、広告主は以下のアトリビューションポイントに注目することができます。[24]
広告ネットワークができる最善の策は、多くの場合、不正クリックの可能性が最も高いクリックを特定し、広告主のアカウントに課金しないことです。より高度な検出手段も用いられていますが[25]、どれも完璧ではありません。
クリック詐欺訴訟の和解の一環としてアレクサンダー・トゥジリンが作成したトゥジリン報告書[26]は、これらの問題について詳細かつ包括的に議論している。特に、「無効(詐欺的)クリックの根本的な問題」を次のように定義している。
PPC業界は、この問題に関する法律の強化を求めてロビー活動を行っています。契約に縛られていない人々も対象とする法律の制定を多くの人が望んでいます。
多くの企業がクリック詐欺の特定に有効なソリューションを開発し、広告ネットワークとの仲介関係を構築しています。こうしたソリューションは、以下の2つのカテゴリーに分類されます。
2007年のフォーブス誌のインタビューで、Googleのクリック詐欺防止専門家であるシュマン・ゴセマジュンダー氏は、第三者によるクリック詐欺検出における主な課題の1つは、クリック以外のデータ、特に広告インプレッションデータへのアクセスであると述べています。[27]
クリック詐欺は、アクション単価モデルでは発生しにくくなります。
無効クリックの運用上の定義において仲介業者(検索エンジン)が優位に立っているという事実は、前述の通り、広告主と仲介業者の間の利益相反の原因となっている。これは、前述のTuzhilin報告書[26]に顕著に表れている。Tuzhilin報告書は、無効クリックを公に定義しておらず、運用上の定義も詳細に説明していない。むしろ、不正検出システムの概要を示し、調査対象の検索エンジンの運用上の定義は「合理的」であると主張している。この報告書の目的の一つは、不正検出システムの有効性を維持するために、システムのプライバシーを保護することであった。このため、一部の研究者は、仲介業者がクリック詐欺とどのように戦うことができるかについて、公開調査を実施するようになった。[28]このような調査は市場原理の影響を受けていないと考えられるため、将来の訴訟において、仲介業者がクリック詐欺をどれほど厳格に検出しているかを評価する際に、この調査が活用されることを期待している。しかし、この調査によって仲介業者の内部不正検出システムが暴露される可能性があるという懸念は依然として残っている。こうした研究の一例としては、UCSBのメトワリー、アグラワル、エル・アバディによる研究があります。また、UCリバーサイドのマジュムダー、クルカルニ、ラヴィシャンカールによる研究では、コンテンツ配信ネットワークにおけるブローカーなどの仲介業者による不正行為を特定するためのプロトコルが提案されています。