Xindiは最も高額なボットネットになりうるのか?
(翻訳:Asia Plus 黒川賢吾)
本日(11月18日)Pilalateは、Xindiボットに関するネットサイバーセキュリティの脅威に対する勧告を発表した。これが阻止されなければ、2016年末までに広告主に30億米ドルの費用が予想される。
Xindiはウィンドウズベースのボットネットで、特にインターネット広告プロトコル(Open RTB v2.3)(PDF)の重大な脆弱性を悪用するよう設計されており、ウェルズ・ファーゴ、シティグループ、ゼネラルモーターズ、マリオット・インターナショナル、コロンビア大学といった一流の重要ネットワークにある600万~800万台のコンピュータに感染し、ボットネットに変え、アドエクスチェンジに対する攻撃を始めた。
ExchangeWireは、PizalateのCEO、Jalal Nasir氏とPixalateのプロダクトマネジメントVPKhalid Razzaq氏に、Xindiの発見と業界がどのように対抗し続けられるかについて話をうかがった。
―Xindiは以前のボットネットと何が違うのでしょう?
どういったタイプのフラウド(不正)かを決定する作業で、我々は新しいタイプを目にしました。私たちは非常に興味深いパターンの一つとして、二つの特徴を持つ特定のボットネットを発見しました。最初にRTBプロトコルの脆弱性を悪用して、次に企業や教育機関の内部でコンピュータネットワークを探します。このボットネットは、それらネットワークとプロトコルを悪用しシステムを操作することに成功しました。
Xindiはビッドの機会を手放さないことで機能します。入札者は入札後、広告が表示された確認が届くのを待ちます。Xindiがインプレッションを保持していると入札者に確認が届かず、そのためインプレッションへの入札が続けられ、増分価格で複数の入札が提示されることになります。結果的にこうして繰り返された入札の結果、入札者は同じ数百のインプレッションが購入されたという通知を受け取るのです。
Source: Pixalate Botnet report
===上図01~08の日本語訳===
1. ボットネットがブラウザ上にセッションを生成し、ブラウザはSSP/Exchangeに広告リクエストを送信
2. ExchangeはビディングのリクエストをDSPに送信
3. DSPはビディングのレスポンスをSSP/Exchangeに返信
4. Exchnageはオプション的にオークションの終了をDSPに送信
5. SSP/Exchangeはブラウザに広告レスポンスを返信
6. ボットが数秒から数時間に渡って広告マークアップを表示せず(代わりに蓄積し)、ステップ1〜7までを繰り返す
7. ボットが(蓄積していた)広告マークアップを再生し、広告表示のノーティフィケーションがSSP/Exchangeに送信される
8. 広告表示のノーティフィケーションがDSPに送信される
======================
このようなフラウド行為にとっての最適な条件があります。例えば活動を検知できない、あるいは活動を阻止できないということは理想的な環境です。Xindiの標的となった大企業や教育機関には、定評のあるプロキシIPでつながった何千というコンピュータがあります。そのIPを何百というコンピュータが共有することでインプレッションの機会は何千という数になり、プロキシIP全体を遮断する必要があるため、フラウドを防ぐことが困難になります。
さらに言うと、企業や教育機関はエクスチェンジに最も良質なユーザを提供しており、これらのユーザのCPMは「通常の」一般家庭ユーザに比べ5~6倍高いのです。最後にこういったIPアドレスの多くは、社会的信頼性の高い業界のものであり、エクスチェンジ側はブロックすることをしないのです。
RTBプロトコルとプログラマティック広告は信頼の上で構築されています。例えば、入札者が入札依頼を受け取ったら、依頼と共に受け取った情報が正確であると考えます。フラウド利用者はこの信頼を悪用するのです。今日のプログラマティック広告は、5年以上前に作られたシステムの上で動いており、おそらくそれらはすでに時代遅れなのではと感じます。
Trustworthy Accountability Group(TAG)は、独自の識別子セットをパブリッシャーレベルで利用し、インベントリーの出所に透明性を持たせることで、フラウドを厳重に取り締まるために組織されました。インプレッションがラベル無しで得られた場合には、直ちにTAG以外から来たという警告になります。
今月初め(11月3日)ATS NewYorkでアンチ-フラウドのビジネスに取り組む4人のパネリストが、近年ボットネットの高まり、メディアバイヤーとボットネットの間のバリュー取引、不正防止やベリフィケーション企業にとっての未来像について議論をした。
パネリストは、Equinix セールスVP Robert Blackburn氏、White Ops CEO Michael Tiffany氏、Index Exchangeプレジデント兼CEO Andrew Casale氏、Forensiqファウンダー兼CEO David Sendroff氏らのパネリストによる議論である。
フラウドは目新しいものではないが、広がりつつある
プログラマティック広告取引は、人の管理を伴わずにデジタルメディアの支出を増大させてきた。これによりオンライン広告は不正者をより引きつけることとなった。
David Sendroff氏は「広告の初期からフラウドはありました。」と述べ、Andrew Casale氏は、この主張に基づき、「フラウドはいつでもありました。プログラマティックがそれを普及させたのです。」と述べた。
Michael Tiffany氏は、ボットネットの「急速な洗練化」について話す。昔は驚くほど単純なボットネットを収益化することは可能だったが、今日のボットネットは識別子を偽造したり、クッキーをコピーしたり、標的のシステムを操作することもできる。これが最近の兆候である。
バリュー取引
不正者は、メディアバイヤーとメディアセラーの間に存在するバリュー取引の価値を理解する能力に長けている。供給が需要より遅れているとき、ビデオ広告でも同様だが、CPMは増える。こういったインプレッションから得られる収益は、広告主の需要を満たすパブリッシャーの元へ行くべきである。しかしかなりの収益が絡んでくるため、不正者は機会を悪用し、システムを操作する方法を見つけている。
ビデオ広告では、ブランドが露出の多さに応じて取引し、ビューアビリティにお金を支払う。ボットネットはビューアビリティを操作し、ブランドが支払っているだけの露出を得られなくしてしまう。改良サイクルはほぼ完了していて、ボットコミュニティでのビューアビリティは、人間集団のビューアビリティより大きなものになりつつある。
フラウドを排除することは、プレミアムなセルサイドにとり、チャンスである。人によるインプレッションに依存するだけでは、市場の流動性は低下することになる。ボットネットは、人工統計上のプロフィールを変えたりマーケターが買えるようにしたりできるため、非現実的な予想範囲を生み出すことが出来る。例えば自動車市場の今週末アイダホにいる1200万のヒスパニック女性といった具合である。
悪いネットワークなら、このようなオーディエンス獲得の対価として示された金額に対して、NoともYesとも言い、Yesの場合ボットに代表されるような客層に合致したクッキーを見つけるかもしれない。
フラウドが衰退するには、それを実行する費用が得られる収益をしのぐ必要がある。フラウドのオペレーション費用が増えれば、ボットネットの供給は減る。そして不正者は、お金を稼ぐために低コストの簡単に検知される形の不正に戻ることになる。
われわれはボットネットによるサイバー犯罪の初期段階におり、現代機器のセキュリティが脆弱で、侵入は容易で、アッセンブルされて巨大となるボットネットは(不正者にとり)非常に魅力的であることは疑いようがない。今日のコンピュータへの侵入は、20年前に比べてさほど難しくなく、われわれはセキュリティ向上のために数年の戦いを見据えている。よってわれわれは犯罪が魅力のないものになるよう努力する必要がある。
インターネットはブラックマーケットに革命を起こしてきた。オンライン市場では、広告のバイヤーは誰から買っているのか見当もつかないが、6000人の人が5つ中4.5の星が評価をつけていることはわかり、それが信頼のベールを作っているのである。
このように運営されているのは何もコンシューマー市場だけではない。サイバー犯罪の激増は、初めてでも異なる二者が取引・交流し得ることにより起こってきた。
かつてはサイバー犯罪をするのは個人であったが、今ではクライムウェアの製造、パッケージ、オンライン販売を専門とする人々がいて、彼らは法的機関から回避する方法を知っている人でもある。
ABOUT 野下 智之
ExchangeWire Japan 編集長
慶応義塾大学経済学部卒。
外資系消費財メーカーを経て、2006年に調査・コンサルティング会社シード・プランニングに入社。
国内外のインターネット広告業界をはじめとするデジタル領域の市場・サービスの調査研究を担当し、関連する調査レポートを多数企画・発刊。
2016年4月にデジタル領域を対象とする市場・サービス評価をおこなう調査会社 株式会社デジタルインファクトを設立。
2021年1月に、行政DXをテーマにしたWeb情報媒体「デジタル行政」の立ち上げをリード。