クリックスパムとクリックインジェクション攻撃:知っておくべきリスクと対策
Oli Lynch
|マーケティング | 2025年8月22日
アドフラウドが猛威を振るっており、2020年には約230億ドルが不正な手口に流れたとされています。これらの詐欺手法は高度化の一途を辿っており、特にモバイル広告と動画広告(英文)が最もリスクの高いチャネルとなっています。
近年巧妙化しているモバイル広告詐欺に、アトリビューション操作、別名偽インストールがあります。この詐欺は、クリックスパムとクリックインジェクションという2つの異なる手口で行われます。
クリックスパムとクリックインジェクションは似ていますが、それぞれ異なる特徴を持ち、モバイルアプリで広告を配信するすべての人にとって脅威となります。これらの手口の仕組みを見ていきましょう。
クリックスパムとは
この広告詐欺は、アプリ実行中に大量の偽クリックやインプレッションを生成する「クリックフラッディング」とも呼ばれる手法です。この詐欺が成立するには、デバイスユーザーが詐欺師が運営するモバイルウェブページにアクセスするか、マルウェアに感染したアプリをダウンロードする必要があります。
当該アプリまたはウェブサイトには、ヒットボットやクリックボットと呼ばれる自動化されたプロセスが組み込まれており、詐欺師はこれを利用して以下のような行為を行います。
- アプリの実行中にバックグラウンドで広告を自動的にクリックする(多くの場合、非表示の広告にクリックフラッディングを行う)。
- 「インプレッションをクリックとして生成」し、単なる表示を広告への実際のエンゲージメントのように見せかける。
- デバイスからランダムなベンダーにクリックを送信し、広告の成果報酬を不正に得る。
デバイスユーザーは、ゲームやユーティリティアプリなど、1つか2つの広告が表示されるアプリを使用していると認識しています。しかし実際には、アプリ内に隠された広告や、複数の広告が階層化されて存在している可能性があります。
アプリやモバイルウェブサイトに潜むヒットボットは、ユーザーに気づかれることなくバックグラウンドで広告をクリックすることがあります。これにより、1日に数百から数千ものクリックや動画視聴が生成される可能性があり、クリックスパムやクリックフラッディングと呼ばれる現象を引き起こします。
一例として、2018年にはDrainerBotマルウェアがGoogle Playストアの複数のゲームやユーティリティアプリに仕込まれていました。
DrainerBot(英文)は、初回ダウンロード時のアップデートとしてインストールされ、Play Protectのチェックを回避していました。インストール後、このボットはバックグラウンドで動作し、デバイスユーザーに知られることなく広告のクリックスパム(英文)を実行し、非表示の動画を視聴していました。
広告主はこれらの視聴に料金を支払うことになりました。一方、ユーザーは携帯電話のバッテリー消費が異常に速いことに気づくだけでした。これがDrainerBotという名前の由来です。
広告主はクリックスパムによってどのような影響を受けるのか
クリックスパムは巧妙な手口で、実際の人間が利用しているアプリ内で発生します。その後、マルウェアはユーザーには見えない広告に対して大量のクリックや表示を生成し、オーガニック流入を横取りします。
さらに、アプリの偽インストールを生成する機能も備わっています。この点については、クリックインジェクションのセクションで詳細を説明します。
このようなオーガニック流入の乗っ取りは、広告のクリック数やインストール数のデータにも影響を与えます。スパムクリックによってトラフィックが人為的に水増しされると、広告プラットフォームが実際よりも効果的に見えてしまう可能性があります。
クリックインジェクションとは
クリックスパムと非常に似ていますが、クリックインジェクションはより高度な手法です。これは、無差別にクリックを繰り返すのではなく、「ジャストインタイム」方式でオーガニック流入を乗っ取り、アプリインストールの成果報酬を得ることを目的としています。
この手口では通常、ダウンロード時に「クリックを注入」し、そのダウンロードが詐欺師のアプリやウェブサイトからの紹介であるかのように偽装します。
結果として、詐欺師は、実際には正規の「オーガニック」ダウンロードであるにもかかわらず、そのダウンロードを仲介したとして報酬を得ることになります。
この有名な事例では、FacebookがLionMobiとJediMobiという2つの開発者を提訴しました。両開発者は、クリックインジェクションを自社アプリで使用し、偽のインストールやオーガニック流入の横取りによって報酬を得ていたとして告発(英文)されています。
この訴訟はまだ続いていますが、この脅威がいかに深刻であるかをはっきりと示しています。しかし、モバイル広告のアトリビューション操作に関して言えば、これはほんの一部に過ぎないと考えられています。
広告主はクリックインジェクションによってどのような影響を受けるのか
当然のことながら、オーガニックなダウンロード(またはさらに悪いことに、実際にはダウンロードされていないもの)に対して、紹介によるダウンロードとして報酬を支払うことは避けたいでしょう。
結果として、クリックスパムと同様に、詐欺師への不必要な支払いや、実際のトラフィックデータの歪曲が発生します。
モバイル広告詐欺:その手口と対策
不審なソフトウェア会社が、モバイル広告詐欺の急増の背景にいることは明らかだと思われるかもしれませんが、それはある程度まで正しいと言えるでしょう。
しかし、責任の特定は見た目以上に困難です。多くの場合、モバイルアプリはソフトウェア開発キット(SDK)を用いて構築されています。これらのSDKは通常、単一の企業によって配布され、長期間にわたり数千のアプリ開発に利用されます。
しかし、これらのSDKにはマルウェア活動を引き起こす悪意のあるコードが埋め込まれていることが少なくありません。例えば、前述のDrainerBotのケースでは、SDKを提供していたTapCore社は、その存在を全く知らなかったと否定しました。
さらに、Facebookから告発された開発者たちは、潔白を主張しています。もちろん、そう言うのは当然ですが、もし彼らが本当に無実であるなら、「この不正なコードは一体どこから来たのか」という疑問が残ります。
その答えはまだ不明であり、クリック詐欺やアドフラウドに対する成功した起訴は依然として比較的稀です。
クリックスパムとクリックインジェクションからの保護
広告主にとって、アトリビューション操作は防御が困難な詐欺形態であり、ボルティモア大学とCHEQによる調査では、ブランドに14億ドルの損害を与えているとされています。しかし、オーガニック流入の横取りやアプリとモバイル広告における偽インストールの被害を受けているかどうかを示す明確な兆候がいくつか存在します。
最も顕著な兆候はトラフィック量です。アプリやモバイルウェブサイトで広告を配信している場合は、トラフィックの急増や不自然なほど高いクリック数に注意してください。これらは通常、有料広告で何らかの不正行為が発生していることを示すサインです。
CHEQは、クリックスプーフィングやクリックインジェクションによって発生する不正なアクティビティからお客様を保護します。弊社のクリック詐欺対策ソリューションであるCHEQ Acquisitionは、1,000以上のユーザーおよびネットワークパラメータをリアルタイムで分析し、トラフィックが詐欺的であるかを判別します。最高レベルの保護をご希望の場合は、受賞歴のある包括的な広告詐欺対策パッケージをぜひご検討ください。
広告保護対策を始めませんか?無料セキュリティ診断のお申し込みはこちら。
