リワード(アフィリエイト)広告における『不正対策』への考え方
必ずと言っていいほど悩ませられる、不当に成果報酬を得る『不正行為』についてです。アフィリエイト業界にいる(特にシステムサイドにいる)人がこういった記事を書いているのをみたときがないので、ちょっと悩みましたが、せっかくなので書いてみます。
以前ブログでも書きましたが、リワード広告のステークホルダーは、広告主・メディア・ユーザとなります(仕事柄、〜様をつけるべきなんだろうけど略称)。メディアで遊ぶユーザは広告主のアプリをダウンロードしたり、会員登録すればするほど、そのメディアでのポイントやアイテムを多く得られます。
例えば、とあるメディアに5つの広告案件が表示され、1つ成果発生(アプリインストールや会員登録など広告の成立条件を満たすこと)すれば、10ポイント得られるとします。そして、そのメディアで50ポイントでアイテムがもらえたり、あるメディアでは50円分の商品券を得られたりします。そのポイントやアイテムがたくさん欲しいがために不正行為は行われます。(感覚的にはそのユーザ報酬が現金に近ければ近いほど不正を行うユーザが多いような気がします)
これは、あくまでも一例です。
アプリをインストールして報酬を受けるといったケースの場合、1アプリに対して1ユーザ(端末)1成果(報酬)が基本となります。一度アプリをインストールして、削除したあとに再度インストールした場合、それは重複で弾かなければいけません。これはアプリに組み込まれる計測SDKでチェックする必要があります。
この流れでは、(3)アプリをインストールして起動するときに、(4)成果通知を行っているのですが、この(3)と(4)の間で計測SDKによる重複チェックを行っています。そのチェックの対象となるのが、ユニークIDです。アプリ自体は端末から削除するとそれ自体が削除されるので、このユニークIDが重要になってきます。
1年ちょっと前は端末IDを使用していました。これは端末に紐づく一意なIDとなっていて、UDID、IMEI、Macアドレスなどを指しています。このIDは端末に紐づく一意なIDのため、プライバシーの問題(*1)などでスマートフォン(iOS・Androidともに)の広告の測定では使用しないのが日本の(*2)広告業界の一般的な動きです。この端末IDまわりの記事は過去に書いてますので参考にしてください。
重複チェックを行うためのユニークID。アフィリエイト広告を成り立たせるためには、ユーザが意図的に変更できない仕組みになっています。しかしながら、これを変更(または偽装)するための方法があります。それは、端末の管理者権限を取得する、『JailBreak(脱獄)』や『Root化』といった方法です。
通常のスマートフォン端末は、安全に利用するためにユーザー権限に制限を設けていますが、セキュリティホールを突くなどしてその制限を取り除き、意図しない方法でソフトウェアを動作できるようにすることを指します。iOSではJailBreak(脱獄)、AndroidではRoot化と呼ばれ、端末の販売元は認可しておらずサポート対象外の場合がほとんどです。
この管理者権限を取得することにより、端末ユニークとしているIDを不正に書き換え、何度も新規イにンストールしていると見立てることによって、同じ端末で何度も成果報酬を得ることができます。
この不正の例をみると、その端末の管理者権限を取得したか否かのチェックを強化することによって対策することできます。具体的には書けませんが、管理者権限を取得する専用のアプリケーションがあります。そのアプリケーションがあるかないかのチェック(*3)であったり、指定領域が改ざんされていないかのチェックなど様々な対策方法があります。
対策したら突破されてのいたちごっこです。常に計測SDKを最新バージョンにアップデートし、この不正行為への防止策をこうじていますが、パソコンなどのウィルス対策と同様に、この不正行為について100%完全に防ぐことはできません。今、言えるとしたら100%にならないにしても、100%に近づける努力を日々行っているといった表現になります。
一つの例をもとに不正について少し脱線したかたちで書いてきましたが、ここからが本題です。これまでに書いた不正の例はあくまでの一例であり、一部分です。この“一部分”の不正対策ロジックに頼るが故に、不正に対する脆さを出してしまっているとも考えられます。もっと部分的な不正対策ではなく、リワード(アフィリエイト)広告を成り立たせているメディア・広告主サイドにも協力していただくかたちで不正対策ができないものかと考えています。図にするとこんな感じです。
広告主サイドには、常にアップデートされる不正ロジックに対する対策の入った計測SDKのアップデートを行っていただく、メディアサイドにはユーザIDを何度も何度も作れないような仕組み(例えば電話番号認証であったり、SNS認証)を導入していただくかたちで進めていただき、部分的な不正対策は深堀りしながらこれまで通り続けていくとして、「総合的にみた不正対策」=「リワード広告を成り立たさせているすべてのステークホルダーの方に協力してもらう不正対策」といったことが、不正対策としての一つの考え方です。
悪意を持った欲望ユーザが存在する限り不正行為はなくならず、その対策は日々続けていかなければ行けません。抜本的な対策方針の改善も必要になる機会が、この先あるかもですが、アフィリエイトの基本ロジックは同じため、こういった考えもあるものだと感じています。
*1 アドテクの先進国では業界団体がしっかりしていて、発表されているガイドラインなどいろいろあるのですが、それを無視してなのか端末IDを使用しているといったことをよく耳にしますし現場でも何回も目にしています。日本の業界団体はそういった先進国のガイドラインを参考に制定していくのですが、現場と“お上”の温度差が若干あるように感じます。この先、海外展開を視野に入れた場合、避けては通れぬものだと感じてます。
*2 スマートフォンになってから浮上してきた問題で、以前のフィーチャーフォンではキャリアから発行される一意なIDを使っていたためです。これはキャリアの提供する3G回線での使用のみですが、フィーチャーフォン時代にWi-Fiといった概念はなく、成り立っていました。(これはこれで問題がたくさんあったようですが)
*3 注意しなければいけないこととして、その管理者権限を取得しているかのチェックの行い方によって、そのチェック自体が管理者権限を取得していると見なされてしまう場合があります。これは別に記事を書いているので、改めて説明します。