Combating online fraud attacks in mobile-based advertising
要旨: Abstract
広告バナーに対して機械的にクリックを生成するAndroidアプリ(不正クリックbot)を実装して、実際のAdNetwork8社に対してbotによるクリックが有効かどうかを検証した。
検証結果から、不正クリックbot対策の提案を3つする。
実装: Implementation of online fraud attacks
CPC収益モデルの広告に対して、悪意のあるPublisherはクリックイベントを生成する事により自身の利益としている。それらは実にシンプルに生成されているが、実際のAdNetwork各社がそうやって生成されたクリックに対して今だに脆弱であるかは疑問があった。
これを検証するため、次の実装とした。
- 独立したAndroidアプリとし、表示された広告に対して自動でクリックイベントを生成する
- Publisher自身の端末でこれを動かすシナリオを想定
- Android Debug Bridge (ADB) を利用してクリックイベントを端末に送信
- Device ID (or android_id) がサーバーに送信されるため、これをランダムに書き換える
実験結果: Experiments
6つのAdNetworkは機械的に生成したクリックを防げなかった。2つのAdNetworkは自動生成クリックに対抗し、アカウントがブロックされた。
対抗手段: Countermeasures
1. Androidのアーキテクチャを変更し、物理的なタッチイベントについてトレース可能にする。イベントの生成元がわかれば、プログラムによって生成されたクリックイベントをフィルタする事ができる。
2. 人間には見えないバナーでbotを釣る
3. 異常なふるまいを検知する
----
感想
攻める側の視点とは珍しいなと思って読んでみたが、全く難しい事をしておらず拍子抜け。しかも6つのAdNetworkにはこれが有効という結果。しかしbotの運用期間が書いてなかったので、不正検知に引っかかる前に実験を終えた可能性もある。
AdNetworkによってはAdvertising IDでは無くAndroid IDを端末の識別子として利用しているという点は、2016年にもなってそんな事するか?? と疑問ポイント。使える物は便利に使ってる、というだけかもしれないが。
