脅威にさらされる、広告主を保護するためのシステム「Ads.txt」：不正行為者がこのシステムを悪用する手法とは

2017年5月、IAB Tech Labは、不正な広告在庫の販売を防止するためのシンプルかつ強力なソリューションであるads.txtをリリースしました。Ads.txtを使用することで、パブリッシャーは、自身の広告在庫を直接的または間接的（リセラーなど）に自社の広告在庫を販売する許可をしているすべての企業が記載されたテキストファイルを、透明性をもって公開することができます。

プログラマティックプラットフォームは、これらのファイルを処理することで、購入する広告在庫の品質を検証できます。広告インプレッションの入札リクエストを受け取ると、パブリッシャーのドメインをads.txtリストと照合します。販売側（SSP、エクスチェンジ、リセラーなど）がリストにない場合、リクエストは不正とフラグ付けされ、広告はブロックされるか（厳格なads.txtの実装の場合）、またはリスクが高いと認識されます（間接販売を許可する場合）。

Ads.txtは、プログラマティック広告の健全性を維持するための重要な標準となり、バリューチェーンにおける透明性と信頼性を高めてきました。その普及により、2019年にはモバイルアプリとストリーミング/CTV向けのapp-ads.txtのような拡張機能が生まれました。

しかし、悪意のある行為者はads.txtを回避したり、この規格を利用して正当性を装ったりすることができます。例えば、2018年後半、DV Fraud Labは、数百のウェブサイトで大量の非人間トラフィックを生成するように設計されたネットワークを特定しました。この仕組みでは、ボットが正当なウェブサイトからコンテンツをスクレイピング（盗み出し）し、オリジナルであるかのように見えるURLを持つ「スプーフィング（偽装）された」サイトを作成しました。これらのサイトは、スクレイピングされたコンテンツと不正な広告枠をともに表示していました。その後、このスキームを利用した運営者は、スプーフィング（偽装）されたURLを使用して、正当なパブリッシャーのads.txtファイルに記載されている正規のリセラーを通じて、これらの不正な広告枠を販売しました。これにより、不正な広告在庫は、正規のサイトから正規の販売者を経由して配信されたかのように見え、正当なものとして認識されました。このスキームの詳細については、こちら（英語）をご覧ください。

不正行為者はどのようにAds.txtを操作して不正な広告在庫を生成するか

以下は、架空の例です：The New York Tribune（架空のパブリッシャー）が、以下のads.txtファイルを持っているとします。

google.com, 12345, DIRECT
example-reseller.com, 67890, RESELLER
big-ad-network.com, 24680, RESELLER

ステップ1：実際のサイトをスクレイピングする。 

不正行為者は、thenewyorktribune.comにアクセスし、そのコンテンツ（見出し、画像、レイアウト）をスクレイピング（盗み出す）するボットを使用します。その後、newyork-tribune-news.comのような偽ドメインでサイトを再作成し、ほぼ同じ外観のサイトを再現します。

ステップ2：システムを騙して実在する訪問だと見せかける。 

ボットは、管理されたブラウジング環境を設定します。

• 実在するユーザーからのものに見えるネットワークリクエストを作成します。
• リファラー（Referer）ヘッダーを偽装して、アクセスが正当なThe New York Tribuneで発生しているかのように装います。
• 広告を挿入し、クリックやエンゲージメント指標をシミュレートして、アクティビティが正当であるように装います。

ステップ3：リセラーへのアクセスを獲得する。 

不正行為者は、example-reseller.com（実在するが、管理が緩いリセラー）にアカウントを申請します。 

• 彼らは、「独自の」トラフィックを持つ正当なパブリッシャーであると偽ります。 
• このリセラーは、すべての新しいパブリッシャーを厳格に審査し、そのアカウントを認証するわけではありません。

ステップ4：偽の広告枠を販売する。

• 次に、不正行為者は、The New York Tribune の ads.txt ファイルに認定リセラーとして登録されている example-reseller.comを通じて、偽サイトで広告枠を販売します。
• 広告主は、レポートで「The New York Tribune」という表示を見て（URLが偽装されているため）、自身の広告が実際のサイトに掲載されたと思い込みます。

ステップ5：実際のトラフィックを提供せずに利益を得る。

• 偽サイトには、実在する人間による訪問者はなく、ボットのみがアクセスしています。
•  不正行為者は、プレミアムパブリッシャーに広告費を支払っていると信じているブランドから、実際の広告収入を徴収しています。 
• 広告主は実際のユーザーとのエンゲージメントがないにもかかわらず、不正行為者は依然として報酬を受け取っています。

このように、不正行為者はads.txtの防御を回避し、表面上は不正が合法的であるかのように見せかけながら、広告費を盗みます。ads.txtの導入以来、DVはこの種の事例を100件以上確認しており、過去5年間でその数が大幅に増加しています。

より単純だが、危険性は同じ

上記で説明した手口は洗練されており、ads.txtを悪用してパブリッシャーと広告主を詐欺にかけるものですが、エコシステムにおいて注意を要する、より単純な手法であり、手間のかからない不正行為も継続的に確認されています。

正面からの不正：パブリッシャーを欺く手口

不正は、多くの場合「正面」から侵入します。例えば、不正行為者は、正当な企業を装い、収益増加につながる「独自の」テクノロジーや独占的な需要を約束することで、パブリッシャーにads.txtファイルに彼らを正規のリセラーとして追加するよう説得する場合があります。収益の最大化と広告枠の埋め合わせに重点を置くパブリッシャーは、善意でこれらの要求を受け入れるかもしれませんが、潜在的なリスクを完全に把握できていません。一度ads.txtに記載されると、これらのリセラーはパブリッシャーの広告在庫にアクセスできるようになり、それを販売したり、不正に悪用したりすることが可能になります。

肥大化したAds.txtファイル：不正行為の入口

しかし、より一般的には、パブリッシャーが古いまたは不正確なエントリーを削除せずにads.txtファイルに新しい行を追加し、ファイルが肥大化することで不正が広がります。これにより、検証が複雑になり、不正な販売者がエコシステム内に留まり続け、不正行為のリスクが増大する可能性があります。

不十分な審査基準のリスク

また、審査基準が不十分な正規のリセラーが、知らず知らずのうちに不正行為者をそのネットワーク全体で活動することを可能にし、不正行為が拡大するケースもあります。この問題は、広告におけるサプライパス最適化（SPO）の台頭に寄与しています。SPOは、不正行為やと無駄を最小限に抑えるために、仲介業者の数を減らすことを目的とした戦略です。リセラーが少ないほど脆弱性が少なくなり、不正行為の発生を抑えられます。

Ads.txtのコピーがいかに問題を増幅させるか

この問題は、パブリッシャーネットワークで、ads.txtファイルが複数のプロパティ間でコピーされることで深刻化します。多くの場合、パブリッシャーネットワーク内のサイトは、設計上、同じads.txtファイルを共有しています。

この標準化は運用を効率化しますが、ネットワークのads.txtファイルに「悪意のある」リセラーが含まれている場合、リスクを拡大する要因にもなります。そのリセラーは、ネットワーク内の他のパブリッシャーにも自動的にコピーされます。プログラマティックプラットフォームは、効率のためにads.txtファイルを一括で取り込みます。これによりプロセスは高速化されますが、同時に不正な販売者が無制限に広がることを許容してしまいます。1つのads.txtファイルに一つの不正行為者が記載されると、その情報は他の多くのファイルにもすぐに拡散し、検出が難しくなり、さらには排除することがさらに困難になります。

Synthetic EchoがAds.txtを悪用

Ads.txtの限界は、DV Fraud Labが最近発見した200以上のAI生成の広告付きウェブサイトからなるネットワークであるSynthetic Echoにおいて明らかにされています。

複数のSSPとエクスチェンジを通じて収益化されているSynthetic Echoは、低品質のAI生成コンテンツを大量作成し、広告収入を得るためだけに存在します。このネットワークはまた、espn24.co.uk、nbcsportz.com、nbcsport.co.uk、cbsnewz.com、cbsnews2.com、bbcsportss.co.uk、247bbcnews.com、foxnigeria.com.ngなど、プログラマティックプラットフォームとバイヤーを正当なパブリッシャーと誤認させるための偽装ドメイン名も使用しています。

Ads.txtの操作

1月に、Synthetic Echoに関する調査結果を基に、DVの新しいフォローアップ分析（こちらで共有されています）を実施したところ、不正行為がads.txtファイルにも及んでいることが判明しました。

Synthetic Echoサイトについての調査では、複数のプロパティ間でほぼ同一のads.txtファイルが複製されていることが判明しました。実際、DVの専門家は、繰り返し現れるads.txtファイルを特定するだけで、さらに多くの不正サイトを発見しました。これは、不正行為者がこのシステムを操作して不正行為を拡大している実態を浮き彫りにしています。

Ads.txtの盗用

さらに懸念されるのは、多くのSynthetic Echoサイトが、信頼できるパブリッシャーからads.txtのエントリを直接コピーしていることです。例えば、NBCSportz.comのads.txtファイルは、CNN.comやDaily Mirror Sri Lankaのような信頼できるメディアからあるセクションをコピーしていました。

このような盗用は、信頼できるパブリッシャーの脆弱性や不正行為を意味するものではありませんが、プログラマティックプラットフォームが不正なコピーを検出してブロックするために、警戒を怠ってはならないかを強調しています。

https://www.dailymirror.lk/ads.txt vs https://nbcsportz.com/ads.txt 

https://edition.cnn.com/ads.txt vs https://nbcsportz.com/ads.txt 

Synthetic Echoネットワーク内の別のサイト、breezysports.co.ukは、Cracked.comとads.txtエントリの大部分を共有しています。両サイトとも広告に依存していますが、その編集の品質とデザインには大きな違いがあります。ここでも、Synthetic Echoサイトは信頼できるパブリッシャーからads.txtエントリを直接コピーしています（この場合、Cracked.comです）。

Ads.txtファイルをコピーすることで、Synthetic Echoは、プログラマティックプラットフォームを欺くことを目的とした、洗練された多層的な「プログラマティックのなりすまし」を行っています。AI生成されたサイトのネットワークは、有名なパブリッシャーによく似たURLやドメイン名を使用するだけでなく、ads.txtエントリもコピーすることで、主要な広告プラットフォームから信頼されているかのように見せかけています。

これらのトラスト（信頼）シグナルを悪用することで、不正行為者はSSPやDSPを騙し、自身を正規のネットワークの一部として認識させます。結果として、広告主は知らず知らずのうちにこれらのサイトから広告在庫を購入してしまい、広告費が正規のパブリッシャーから流出し、エコシステムにおける広告費の浪費が拡大します。

「厳格な」Ads.txtファイルを維持することが重要な理由

責任あるパブリッシャーは、不正行為のリスクを最小限に抑え、ブランドの評判を保護するために、信頼できる販売者のみを記載したクリーンで適切に管理されたads.txtファイルを最優先し管理しています。彼らは積極的にファイルを監査し、ベストプラクティスを共有し、不必要なリセラーをコントロールしながら、定期的なレビューを重視します。

Ads.txtの脆弱性を悪用する不正行為に関するDVの調査結果と推奨事項に基づき、広告サプライチェーンにおけるセキュリティと透明性を強化するために、パブリッシャーとプログラマティックプラットフォームの双方に向けたベストプラクティスは、以下の通りです。

パブリッシャー向けのベストプラクティス

• Ads.txtのエントリを信頼できるパートナーに限定する。

1. 1. • 明確な契約関係のある直接販売者または検証済みのリセラーのみを追加してください。
      • 広告ネットワークとリセラーが、御社との直接的な関係を通じてのみ広告在庫を提供していることを確認してください。

• ドメインとコード実行を綿密に監視する。

1. 1. • デジタル環境で実行されているすべてのドメインとスクリプトを継続的に追跡してください。
      • 許可されたドメインに制限し、不正なドメインはすべてブロックしてください。

• Ads.txtファイルを簡潔かつ的を絞ったものに保つ。

1. 1. • プレミアムパートナーとの直接的な取引を優先してください。
      • 過剰な記載は不正行為の機会を生み出すため、リセラーを最小限に抑えてください。

• Ads.txtファイルを定期的に監査および検証する。

1. 1. • 構文エラーや予期せぬ変更がないか確認してください。
      • 検証ツールを使用して、ファイルにエラーがなく、最新の状態に保たれていることを確認してください。

• Ads.txtをSellers.jsonと組み合わせて使用し、セキュリティを強化する。

1. 1. • Sellers.jsonは、誰が広告在庫を販売しているかについてさらなる透明性を提供します。
      • 検証強化のために、独立した広告フラウドベンダーとの連携を検討してください。

• Ads.txtが万全な対策ではないことを認識しておく。

1. • Ads.txtの保護を回避しようとする洗練された不正行為に対し、警戒を怠らないでください。

プログラマティックプラットフォーム（SSP、DSP、アドエクスチェンジ）向けのベストプラクティス

• 取り込む前にads.txtのファイルの整合性を検証する。

1. 1. • 重複または疑わしい記載がないかエントリを相互チェックする。
      • 予期せぬリセラーや過剰な仲介業者にフラグを立てる。

• コピーまたは操作されたads.txtファイルを検出し、ブロックする。

1. 1. • 複数のドメインにわたるクローン化されたads.txtファイルを特定する。これは一般的な不正行為のシグナルである。
      • ドメインの評判を常にチェックし、異変があれば調査する。

• 直接販売者を優先し、リセラーへの依存を最小限に抑える。

1. 1. • 可能な場合は、広告主が直接販売者の広告在庫を選択するように奨励する。
      • 間接的なリセラーからのトラフィックには、優先度を低く設定する、またはより厳格な審査を行う。

• Sellers.jsonとOpenRTB SupplyChain Objectを使用して、より深い検証を行う。

1. 1. • Sellers.jsonがads.txtエントリと一致していることを要求する。
      • SupplyChain Objectデータを分析し、インプレッションが正当な経路を流れていることを確認する。

• 不正行為者を迅速にフラグ付けし、排除する。

1. 1. • 不正な販売者を特定し、排除するためのリアルタイムの不正検出システムを維持する。
      • 不正行為者が新しいドメインで再出現するのを防ぐため、業界団体やパートナーと不正情報を共有する。

• 広告在庫ソースを定期的に監査する。

1. • リスクの高い広告在庫ソースについて継続的な調査を実施する。
   • 出現する不正行為の手口について、広告主とパブリッシャーを教育する。

これらのベストプラクティスに従うことで、パブリッシャーは不正行為への露出を減らし、プログラマティックプラットフォームは不正な広告在庫がエコシステムに侵入するのを防ぐことができます。厳格で適切に管理されたads.txt戦略は、広告費の保護、透明性の確保、そしてよりクリーンで信頼性の高いプログラマティックマーケットプレイスの維持という点で、すべての人に利益をもたらします。

本記事は、DVのTransparency Centerの一部です。これは、DVのテクノロジーと測定について業界に啓発することを目的とした専用ポータルです。重要な問題について詳細な説明、インサイト、タイムリーな情報を提供することで、デジタル広告エコシステムにおける信頼と透明性の向上を目指しています。