競合クリック販売の闇:サイバー攻撃の新手法と対策
Oli Lynch
|マーケティング | 2025年3月07日
近年、オンライン広告の世界では、不正なトラフィック、いわゆる「アドフラウド」が深刻な問題となっています。特に、競合他社の広告を意図的にクリックし、広告予算を浪費させる「競合クリック」は、新たなサイバー攻撃の手法として注目されています。
かつては、自然な流入、つまりオーガニックトラフィックが主流でしたが、現在ではトラフィックボットなどの不正な手段でトラフィックを増加させるケースが増えています。 また、検索結果で競合他社が上位表示される状況に対し、意図的なクリックで順位を下げることも可能になっています。
Google などのプラットフォームは不正なトラフィックへの対策を強化していますが(英文)、ボット技術も高度化の一途をたどっています。
例えば、あるボットサービスでは、VPN(プロキシサーバー(英文))を駆使し、あたかも本物のユーザーによるアクセスであるかのように見せかけることが可能です。 開発者の証言によれば、これらのボットはVPS(仮想プライベートサーバー)を利用し、IPアドレスを自由に変更することで、世界中のどこからでもアクセスしているように偽装できます。さらに、プロキシサーバーを組み合わせることで、追跡を逃れながら、競合他社の広告を意図的にクリックすることも容易です。
開発者への取材では、以下のような回答が得られました。
「このボットは VPS(仮想プライベートサーバー)を使用してユーザーのコンピューターから実行されます。トラフィックの発信元や国は IP アドレスで調整できるため、世界中どこからでもトラフィックが発生しているように見せることができます。当社のプロキシサーバー接続プランを購入いただくと、毎週 1,000 個の新しい IP アドレスを提供します」
これらのサービスは、クリック数や滞在時間を自由に設定できるだけでなく、CAPTCHA(キャプチャ)回避機能も備えています。価格も手頃で、生涯ライセンスが500ユーロ未満で提供されているものや、月額197ドルで利用できる高機能なサービスも存在します。
他のサービスでは、月額107ドルで、Instagram、Amazon、Facebook、Googleからのデータスクレイピングや、オーガニックトラフィックに見せかけた不正なトラフィック生成、モバイルデバイスからのGoogle広告クリックなどが可能です。
これらのツールが公然と販売されている現状は、広告プラットフォームにとって深刻な課題です。こうした背景から、不正クリックを防止するためのソフトウェアへの需要が急速に高まっています。 このような背景から、クリック詐欺防止ソフトウェアへの需要が急速に高まっています。
トラフィックボットとリモートクリックファームの実態
不正クリックの手法は、トラフィックボットだけではありません。近年では、ペイ・トゥ・クリック(PTC)サービスも増加しています。
PTCサービスの代表例であるSerpClixは、特定のウェブページへのクリックを報酬と引き換えにユーザーに依頼するサービスです。
これらのサービスは、SEO対策ツールとして販売されています。背景には、Googleが検索結果のランキング要素としてクリック数を重視していることがあります。クリック数が多いページは、検索結果で上位に表示されやすいためです。
PTCサービスは、SEO対策以外にも、広告付きウェブページのインプレッション水増しや、ソーシャルメディアのエンゲージメント増加などに利用されています。
これらの PTC サイトは、実質的にリモート型のクリックファームとして機能しています。従来のクリックファームは、特定の場所に集まった作業員がPCを使ってクリック作業を行う形態でしたが、リモートワークの普及に伴い、作業員が分散化し、PTCサービスの需要が拡大しています。
トラフィックボットサービスの利用実態と影響
トラフィックボットサービスは、インターネット上で広く利用されています。Statista の調査によると、全ウェブトラフィックの25.6 %が「悪質なボット」によるもので、人間によるトラフィックは 59.2 %です。つまり、インターネット上のトラフィックの約 4 割が人間以外の存在によって生成されています。
さらに、別の調査では、人間によるトラフィックが約 36 %であるのに対し、悪質なボットによるトラフィック(英文)は 39 %にも達するという結果も報告されています。
トラフィックボットサービスの利用目的は多岐にわたります。
- 広告収入の増加
- 検索エンジンでの順位向上
- ソーシャルメディアでのエンゲージメント向上
これらのサービスは比較的安価で効果が高く、誰でも簡単にアクセスできることから、利用者が増加傾向にあります。しかし、このような状況は、正当なマーケティング活動を行うビジネスやマーケターに深刻な影響を及ぼす可能性があります。
特に、広告予算の浪費、成果指標の歪曲、顧客へのリーチ機会の損失など、様々な問題を引き起こす要因となっています。
広告プラットフォームにおける不正トラフィック対策の限界
Google や Facebook などの広告プラットフォームも、不正トラフィックへの対策行っていますが、その防止策には限界があります。これらのプラットフォームは、トラフィック量が増えるほど広告収入も増加するため、厳格な制限をかけることに消極的な側面があります。
現状の不正トラフィック対策には、以下のような課題があります。
- 事後的な検出
- 多くの場合、不正トラフィックは発生後に検出されます。Google 広告で返金(英文)を受けた経験がある広告主は、この事後検出の実例を経験していることになります。
- IP アドレスベースの制限の脆弱性
- Google の不正クリック防止策は主に IP アドレスに基づいていますが、この方法には限界があります。VPN の使用やスマートフォンの機内モード切り替え(英文)により、 IP アドレスの変更が容易であり、効果的な防止策とは言えません。
- 確認方法の不透明さ
- Google 広告では無効なトラフィックの分析が可能ですが、この情報はデフォルトでは表示されません。広告主は手動でダッシュボードの設定を変更し、確認する必要があります。
このような状況から、広告主は独自の対策を講じる必要性が高まっています。プラットフォームの提供する基本的な保護機能だけでなく、追加の防御策を検討することが重要です。
Google 広告の無効なトラフィックを確認する方法については、こちらをご参照ください。
クリック詐欺防止システムによるトラフィックボット対策
CHEQ などのサードパーティのクリック詐欺防止サービスは、以下のような多角的なアプローチで不正トラフィックをブロックしています。
- デバイスフィンガープリント
- IP アドレスだけでなく、デバイス固有の特徴を識別する技術を採用しています。これにより、IP アドレスが変更されても不正なデバイスを特定することが可能です。
- 最新のブロックリスト
- クリックファームやボットネットなど、既知の不正発信源を網羅した最大規模のブロックリストを保有し、これらの不正アクセスをリアルタイムでブロックします。
- 厳格なクリック制限
- 同一デバイスからの複数回のクリックなど、不自然なアクセスパターンを検知し、即座にブロックします。
- VPN トラフィックの制御
- VPN や想定外の地域からのアクセスを無効なトラフィック(IVT)として識別します。大多数のボットトラフィックが VPN を使用する実態を踏まえ、これらを原則としてブロックします。
さらに、CHEQ は機械学習を活用してキャンペーンのトラフィックを常時分析しています。特定のクライアントで検出された不正トラフィックのパターンは、全顧客の保護に活用されます。
業界最大規模のクリック詐欺防止サービスとして、トラフィックボット、PTC サイト、不正ボットに関する包括的なデータベースを構築しています。
広告への不正アクセスの有無を確認するには、CHEQ によるトラフィック監査が最も効果的です。無料セキュリティ診断を通じて、包括的なボット対策を開始できます。
