クリックスパムの脅威

モバイル広告の世界における不正行為

不正トラフィックは、常にアドテク業界の主要な問題点でした。もちろん、非物理的なデータを使用する事は、操作の余地を十分に残す事が予想されます。これは、全てのユーザーの存在を確認する事が出来ないまま、大規模な作業を行う事になる為です。

業界では不正対策に力を入れていますが、不正の手口は同時に進化し、新しく開発された不正防止ソリューションに対抗すべく、より巧妙になっています。

Juniper Researchによると、不正トラフィックによるアドテク業界の損失は、2023年には1000億ドルに達すると推定されており、この数字は増加傾向にあります。業界の専門家によると、不正なインストールはiOSアプリインストールの31%、Androidアプリインストールの25%を占めると推定されています。

モバイル業界における広告詐欺の主な種類は以下の通りです:

• クリックスパム または クリックフラッディング (MMP リンクを利用した詐欺師が、ユーザーに気づかれないようにユーザーのデバイスに複数のアプリストアのページを開き、 ユーザーがそのアプリの1つを（自然に）インストールする。そのインストールは詐欺師によるものとされます）。

• クリックハイジャック (他のプロバイダからインストールされる事を予測し、インストールされる直前にクリックをハイジャックする、より巧妙な詐欺の一種);
• SDKスプーフィング (詐欺師が実際のユーザーアクティビティを模倣し、実際のモバイルデバイスを使用して正規のアプリインストールを作成するが、実際にはインストールされていません)。

10年以上の経験を持つアドテク製品のベテラン企業として、私たちが目指すのは、単なるサービスプロバイダーではなく、価値を提供し、お客様のパートナーになる事です。その為、私達はお客様の声に耳を傾け、その懸念に積極的に対応しています。

APAC地域の複数のクライアントから、一部のパートナーから提示された現実的なUAコストをどこまで信用して良いのか、という懸念の声が上がっています。また、その数字は信憑性があり、企業のステークホルダーを満足させる物でしたが、現実的とは程遠い様に思えた為、何かがおかしいと感じました。

当社の製品・分析チームが行った調査の結果、主要なユーザー獲得パートナー数社による前例のない大量のクリックスパムが発覚しました。

欧米諸国ではクリックスパムの量は減少していますが¹、APACを含む一部の地域では依然としてその存在感が強くなっています。新興国でもまだ問題が見られ、複数のステークホルダーに影響を及ぼす為、業界として優先的に対処すべき事象です。

クリックスパムとは？

クリックスパムは、クリックフラッディングと呼ばれる事もあり、「ラストタッチ」アトリビューションモデルの抜け穴を悪用した不正なトラフィックアクティビティです。詐欺師は、実際のユーザーのデバイスに、知らない内に（広告やストアページを見る事なく）複数のアプリストアページを開き²、理論的には7日以内に自然に起こるかもしれないインストールを仕向けます。このアトリビューションウィンドウの間、詐欺師のソースからの「クリック」が最後の物である限り、MMPはインストールを詐欺師に割り当てる事になります。

つまり、デバイスが不正利用されたユーザーが、アトリビューションウィンドウが開いている間にオーガニックでアプリをダウンロードした場合、そのインストールは不正利用者に起因することになります。 

クリックスパムはどのように機能するのか？

クリックスパムを大規模に実行する為に、フラウド業者が行っている比較的簡単な手順を以下紹介します：

1. フラウド業者は、モデレーションが不十分な為、特に悪用されやすい多くのセルフサービス型（場合によっては独自開発の）DSP（需要側プラットフォーム）を使用して、最も安い在庫を購入します。
2. アップロードされたクリエイティブに悪意のあるコードが含まれており、ユーザーが気づかない内に、バックグラウンドで複数のアプリストアのページ（一度に20～30ページ開く事もあります）を開くよう端末に促します。このプロセスは、アドスタッキングと呼ばれています。
3. 実際のユーザーのデバイスからのクリックは7日間、全てフラウド業者によるものとされます。
4. アトリビューションウィンドウ内でユーザーがアプリをオーガニックにインストールした場合、そのインストールはフラウド業者に起因するものとされます。

クリックスパムは、大規模なユーザーグループによって有機的にインストールされる可能性が高いアプリをターゲットにしています。これらのアプリは通常、チャートで上位にランクインしている、売上が高い、新しいサービスを提供している、新しいデバイスの所有者に人気がある等といったアプリです。

クリックスパムの規模

クリックスパムは、CPI（インストールあたりのコスト）が正規の広告よりも大幅に低くなる傾向があり、（ユーザーがアプリを使用する意図が高いオーガニックトラフィックを単に共食いさせる事によって）高いエンゲージメント率を生み出す事もあるので、この種の不正なトラフィックを提供する企業は、ユーザー獲得の主要パートナーとなる可能性が高くなります。

最初の調査で、クリックからインストールまでのCVR（コンバージョン率）が0.025%という異常値を示しました（アプリの種類や業種によって異なりますが、業界のベンチマークは約1～2%です）。この異常なCVRから、私等はさらに調査を進める事になりました。

私等が発見したのは、これらの数字を逆算しようとすると、パフォーマンスが逸脱してしまうという事です：

• 100,000,000（100M）クリックされるためには、CTR（クリックスルー率）5％（フルスクリーン動画の場合）でも、毎日合計2,000,000（2B）インプレッションを配信する必要があるのだそうです。
• このインプレッション数を生み出すには、たとえ0.1ドルという非常に低いCPM（費用対効果）であっても、広告主は毎日200,000ドルの費用がかかります。
• 最後に、通常予想されるコンバージョン率を1％とすると、ソースから生成されるインストール数は、毎日1,000,000件に傾くはずです。

プログラマティックモバイルアドテク業界の重要な点は、高品質のトラフィックを提供する全てのSSP（サプライサイドプラットフォーム）が、CPMモデルのみで動作している事です。

サービスプロバイダーと広告主の間で、CPI（インストール単価）やCPA（アクション単価）の契約を結ぶ事は、珍しい事ではありません（実際によくある事です）。広告主は、インストールやアクションに対してのみ支払うと考える事で、成長する為の予算が確保されていると感じるのです。

前述のケースでは、1インストールあたり0.1ドルのCPIで毎日25,000件のインストールがあった場合、この規模のキャンペーンでは1日の実質予算は200,000ドルであるべきなのに、1日のキャンペーン予算は2,500ドルとなっています。

とても安価にインストールが取得出来たと思う事は幻想であり、実は予算の損失なのです。

上記の例は、ある最大規模の市場における、単一のモバイルアプリに対するクリックスパミングの実際の規模を反映しています。もちろん、全ての不正トラフィック企業がこのような明白な痕跡を残している訳ではなく、規模がもっと小さい場合もあります³。しかし、複数のアトリビューション機会を開くクリック数とインストール用クリックのCVRは、常にUAマネージャーの注意を引く必要があります。

悪循環を生み出す

この規模のクリックスパムの問題は、予算損失だけの問題よりはるかに大きい事が分かります。年間のマーケティング業績予算（事業計画書や投資家向け報告書と一緒）が、一見「最高の欺瞞のUA」の結果に基づいて作られると、そのトラフィックソースに依存するという悪循環が生まれます。

クリックスパムが複数のステークホルダーにどのような影響を与えるか見てみましょう。

1. 機会があれば、不正なUAパートナーは、他のパートナーのエンゲージメントKPIに追いつきながら（あるいは上回りながら）、他のパートナーよりも低価格でトラフィックとインストールを提供し始めます。小規模であれば、オーガニックトラフィックの減少は簡単に見過ごされます。
2. UAマネージャーは、結果をパフォーマンス部門のマネージャーに報告します。多くの場合、UA部門はASO/オーガニックトラフィック部門と分かれており、オーガニックトラフィックの減少を見る事になる（そして間違いなくA/Bテストの非定型の結果を得る事になります。）同じ会社内の異なるマーケティング部門が定期的に直接コミュニケーションをとる事はない為、オーガニックトラフィックの減少はパフォーマンス部門には見えないままとなり、その減少を新しい有料トラフィックソースに起因させる事は難しいかもしれません。
3. 業績部長は、不正UAソースから配信された数字をもとに年間予算を組み立てます。
4. ユーザー獲得コストを含む数字は、最終的に経営トップが投資家に提示する年間ビジネスプランにたどり着きます。
5. ビジネスプランが承認されると、投資家は無効な数字を基に期待するようになります。

他の複数のトラフィックソースが、UAコストとエンゲージメントの両面で不正なUAトラフィックソースと競合するのに苦労している為、不正な企業への依存度が高まっています。

マクロレベルでは、クリックスパムの成功（およびクライアントとMMPの両方がそれを許している事）は、モバイル業界全体に影響を及ぼします。クリックスパムは、その手法によりMMPのパフォーマンスインデックスに掲載される可能性が高くなり、不正防止装置のレーダーをかいくぐる事が出来る為、クリックスパムの問題はあり続けます。

• ボリュームランキング – インストール数：クリックスパムが使用する日和見戦術は、インストールイベントの確率に依存する為、インストールの機会を増やす為に大量のトラフィックを誘導する必要があります。
• リテンション/IAPランキング：クリックスパムがもたらすインストールは純粋にオーガニックなので、これらの企業がオーガニックのベンチマークに追いつく事が出来るのは不思議な事ではありません。

クリックスパムの悪影響について

1. CACコスト。UA担当者の数字への依存は、投資が予断を許さない事を意味します。
2. オーガニックトラフィック。デザイン上、クリックスパミングはオーガニックトラフィックを属性化し、不正なパートナーに有利になる様にカニバリゼーションします。
3. MMPコスト。インストールが有料に帰結する為、MMPにコストが加算されます。
4. 他の有料パートナーから非現実的なエンゲージメントを期待されています。オーガニックトラフィックとペイドトラフィックには、大きな違いがあります。オーガニックトラフィックは、一般的にアプリのダウンロードや利用意向が高く、プル型マーケティング戦略に相当します。一方、有料トラフィックで獲得したユーザーは、プッシュされずにアプリを使用する意思が低くなります。
5. アプリストアのランキング。アプリストアのページビューとインストール間のコンバージョンが低いと、アプリストアにプロモートされたアプリに対するユーザーの関心が低いというシグナルが送られ、最終的にアプリのランクが下がります。
6. 正当なトラフィックソースに対する過小評価。評価の高いアドエクスチェンジは、最大限の透明性の為に、CPMモデルのみで動作します。CPI/CPAモデルは、より「明確」で予測可能な結果をもたらす様に見えますが、フラウド業者がクリックスパミングやその他の詐欺を大規模に行う事が容易になります。
7. ユーザーにとってのモバイルデータのコスト。インドのようにモバイルデータが制限され、かつ高価な国では、大多数のユーザーがモバイルプロバイダーから限られたデータパッケージを購入し、賢くインターネットを利用しています。フラウド業者がバックグラウンドプロセスで複数のアプリストアのページを開くと、ページの読み込みにユーザーのデータパッケージのかなりの部分が消費される可能性があります。

クリックスパムの検出と防止

1. インプレッション数を確認する。クリックスパムは通常、インプレッション数を共有しません。その代わり、クリック数とインストール数を共有します。インプレッションは実際のユーザーには表示されないので、クリックスパムはそれらをハードコードする必要があります。⁴
2. コンバージョンレートを確認する。クリックからインストールへのコンバージョン率は、あまりにもおかしく、業界のベンチマークからかけ離れている事でしょう。
3. コストの実現可能性を計算する。パートナーがユーザーを獲得する為に、どれだけのコストがかかるかを計算し、その数字と課金額を比較する事で、疑わしい行為が明らかになるかもしれません。
4. テストを実施する。UAパートナーが既にクリックスパミングをしていると思われる場合、確実な確認方法は、パートナー（または複数のパートナー）を10日間（標準のアトリビューションウィンドウが7日間続くため）一時停止し、オーガニックインストールに成長があるかどうかを確認する事です。
5. トラフィックを監視する：

• オーガニック：トラフィックが突然減少した場合、新しいパートナーの監査を実施する時期が来た事を示すかもしれません。
• 有料トラフィックにおけるアシストインストール：アシストインストールやソースの重複は完全に予想される事ですが、アシストインストールでパートナーの存在が偏っている場合は、警告を発し、さらなる調査を促す必要があります。

6. 正しいデューデリジェンスプロセスを実施する。私達は、その怪しい会社について深く調査する事をお勧めします。つまり、従業員の数を確認し、顧客からの推薦状を確認し、ケーススタディに目を通し、評判の良いパートナーと仕事をしている事を確認するのです。

デューデリジェンスプロセスのもう一つの重要な側面は、適切な質問をする事です。パートナーのトラフィックソースと、そのトラフィックにどのようにアクセスしているかを発見する事が鍵になるかもしれません。アドテクノロジーにおける「シークレット・ソース」は、常に技術的な裏付けがある為、上記のような側面で秘密主義を貫く事は、疑念を抱かざるを得ません。

残念ながら、デューデリジェンスだけでは、アドフラウドによる予算の乗っ取りを防ぐ事は出来ません。前述したように、私達の事例では、業界の業績評価に含まれる不正行為者もいました。

7. UAチームに適切なインセンティブを提供する。現在、UAマネージャーのパフォーマンスはROASで測られています。この視点は、不正のないトラフィックをもたらす事にシフトさ れるべきです。
8. 無知であってはならない。あまりに良さそうなものは、そうでない可能性が大いにあります。

注意：

_¹   欧米諸国ではその額は低いものの、それを放置するバイヤーの怠慢と無知により、依然としてアドフラウドは存在しています。ただし、欧米企業のポリシーは通常より厳しく、デューデリジェンスを確実に行う為のプロセスも含まれています。 Back ⤴️

² クリックスパムはAndroidとiOSのアプリに同様に影響する為、意図的にデバイスの種類やストアを指定しないようにしています。 Back ⤴️

³ 密かに行う事が、クリックスパムに共通する特徴ではありません。アドフラウドはインストールされる確率を上げる必要がある為、より多くのデバイスをターゲットにして、より多くのアトリビューションウィンドウを開かなければなりません。 Back ⤴️

⁴ 最大のMMPの1つであるAdjustは、インプレッションを送信しないソースにアトリビュートを付けないというイニシアチブを推し進めようとしました。残念な事に、彼らは後にそれを実施しない事を決定しました。 Back ⤴️