【特別寄稿】SDKスプーフィングの実態

※本記事は、Adjust株式会社カントリーマネージャーの佐々直紀さんよりご寄稿頂きました。


消費者がモバイルに費やす時間が他のメディアタイプより年々長くなっているのに先立ち、2019年は、その広告費用においても増加が見込まれています。しかし、モバイルにおける不正行為も、その規模や高度化という面で拡大を続け、モバイル業界を弱体化させるような問題が依然として残ったままになっています。


不正業者は、アプリのマーケティング予算から数十億ドルを盗み取るため、広告エンゲージメント(インプレッションやクリック)やインストール、購入といったアプリのアクティビティを不正に操作する新しい手口の開発を続けています。Adjustでは、現在1日に約100万の不正アトリビューションを検知・排除し続けています。


さまざまなタイプのアドフラウドが発生する中、もっとも急速に拡大しているのはSDKスプーフィングです。Adjustのモバイルベンチマークツールによると、Adjustが拒否したアトリビューションに占めるSDKスプーフィングの割合は24%であることが示されています。この手法による不正はもっともダメージが大きいものの、最も認識されていないタイプの1つです。




SDKスプーフィングとは?


SDKスプーフィングは、モバイル広告における固有の弱点、つまり、「すべての広告統計情報はモバイルデバイスから送信されるデータに依存している」という仕組みを狙って攻撃するものです。簡単に言えば、SDKスプーフィングは、アトリビューションプロバイダーをだまし、実際のデバイスから送られた本物のデータを受け取っていると思い込ませるものです。この手法ですべてのSDKに影響を与えます。


SDKスプーフィングを実行するために、不正業者はインストールや購入イベントなど特定のアクションがアプリで発生した場合に送信されるトラフィックを観察しています。そして、アトリビューションプロバイダにインストールやイベントが発生したと信じ込ませるために、変数を一度に1つずつ変更しながらフォーマットをデコードします。


フォーマットができたら、架空のインストールを生成できるようなスクリプトを作成します。それから不正業者は偽のクリックを生成しなければなりませんが、それにはさまざまな方法が存在します。その後、アトリビューションを獲得するために、ただちに偽のインストールを送りつけます。


それではマーケターは、それが問題かどうかを、どのように知ることができるのでしょうか。通常の平均的なアプリには、約18種類のSDKが組み込まれています。それらすべてが不正業者に金銭的なインセンティブを与え、マーケターをリスクにさらす可能性を抱えています。SDKは、効果的なアプリマーケティングに不可欠なデータ収集において重要なものですが、不正業者にしてみれば、送信データを模倣することは決して不可能ではありません。


しかしながら、予算をかすめ取り、データにダメージを与えるSDKスプーフィングを避けるための手段が、いくつか存在します。




誇大広告を信じない


残念ですが「スプーフィングを受けないSDK」は、これまでも、そしてこれからも存在することはあり得りません。なぜならすべてのSDKは、不正業者がコントロールすることができるソース(ユーザー端末)データに依存しており、データ転送もコントロールすることが可能だからです(プロキシサーバーなど)。


マーケターは、アプリに新しくSDKを追加するたびに、アドフラウドが拡大していく可能性があることを理解しておく必要があり、その都度にセキュリティ監査を行うことが大切です。


また、SDKスプーフィングやSDK関連サービスのセキュリティプロトコルについて、サービス提供者がどのような立場をとり、お客様を支援するのかを協議しておくことが大切です。アプリへの連携を考えているSDKが、不正業者に金銭的なインセンティブを与える可能性がある場合には、連携を進める前に、まずアトリビューションプロバイダがアドフラウドに対抗するソリューションがあるかどうかを確認する必要があります。




暗号化されたSDKシグネチャーの設定


暗号化された署名(シグネチャー)を使用して、SDKが送信するコミュニケーションパッケージを認証することが、現時点における唯一の解決手段です。この署名は、人間では解くことが極めて困難な数学的問題(シークレットコード)を用います。署名を(ユーザー端末上の)プロセスの最初と最後に送信することで、どのサーバーに対して情報が送られた場合でも有効です。


シグネチャーを使ってSDKから送られたトラフィックをバックエンドで検証し、リクエストが信頼できるデバイスから送られたものであることを確認します。基本的にアトリビューションプロバイダは、データが本物でかつ正当なものであると「確認」するために署名を利用するのです。


マーケターがSDKシグネチャーを利用せずにユーザー獲得キャンペーンを実施している場合、不正業者にマーケティング予算を搾取されるリスクが伴います。従って、アトリビューションプロバイダーにSDKスプーフィングに対するソリューションがあるかどうかを確認するよう、強く推奨します。




SDKシグネチャーによる不正業者の排除


アドフラウドは急速に進化しています。1つのソリューションが提供されると、不正業者はまたたく間に回避策を探します。しかし、不正業者もまた彼ら自身の「ROI」を意識し、新しいスプーフィングが十分投資に見合うものかどうかを検討しています。


ここで重要となるのは、モバイルのアトリビューションプロバイダやアドフラウド防止ソリューションが、簡単に破られない強固なシグネチャーを開発することにより、不正業者にインセンティブを与えないようにすることです。暗号化されたシグネチャーが、UA予算の盗難に「プロセス手数料」を上乗せすることで、不正業者にとっても投資する魅力が低下します。苦労して盗んだ成果が投資に見合わなければ、何の意味もないからです。


結局のところ、アドフラウドが現代のモバイルエコシステムの一部となっていることは否定できない事実です。SDKスプーフィングによる不正の場合、マーケターが事後に媒体や代理店と争うのではなく、金銭的な手段を用いて自分自身を守ることが必要となります。


もしそうでなければ、不正業者は既に勝利を手にしていることになるからです。不正行為を完全に食い止めることはできませんが、まずは彼らにとって好都合な標的とならないよう、業界が互いに協力していく必要があるでしょう。




著者
Top