DV Fraud Lab は、これまで、高度な検出手法を必要とする CycloneBot や SmokeScreen などの、洗練された複雑な不正行為の手口を明らかにしてきました。しかし、まれに、単純なアドフラウドの手口が表面化し、保護されていないキャンペーンにおいて 1 日に何百万ものインプレッションを生み出してしまうことがあります。これらのシンプルな手口は、明らかなミスや容易に検出可能なパターンが特徴であり、すべての不正行為者が同じレベルの専門知識を有しているわけではないことを示しています。DV Fraud Labの堅牢な技術と徹底した監視は、最も単純なアドフラウドを迅速に検出・対応することで、デジタル広告エコシステムの健全性を維持することを目指しています。
最近の例として、ShadowBot — モバイルとコネクテッドTV(CTV)広告環境を標的としたボットオペレーションが挙げられます。これは2024年にDV Fraud Labによって初めて発見されました。このボットはエミュレーターやその他の自動化手法を用いてモバイルデバイスを模倣し、アプリIDを偽装することで偽の広告インプレッションを生成します。
ShadowBotに関する主な事実:
- ShadowBotは2025年第1四半期に3500万台を超えるユニークなモバイルデバイスを偽装しました.
- ShadowBotは毎日300万件を超えるデバイスシグネチャを生成しています。
- DVは、Shadowbotが2025年初頭から保護されていない広告主に最大$2.5百万の損害を与えたと推定しています。
この手口は、モバイルエミュレーターとVPN IPを組み合わせて実際のユーザーを偽装します。しかし、その偽装は単純なものでした。不正業者は5つのミスを犯しており、以下にその概要を説明します。
DVがShadowBotを特定した不正行為者のトップ5の過ち
1. 基本的な自動化手法
エミュレーターが使用されることで、自動化されたトラフィックに共通する基本的な画面サイズを検出される場合があります。例えば、800×600は古い正方形のモニターに共通する画面解像度であり、仮想マシンや自動化されたスクレイパーなどの非人間活動におけるデフォルト設定としてよく使用されます。
ShadowBotデバイスはモバイルデバイスを偽装しようとしたため、画面サイズが小さく、アスペクト比が異なる問題が発生しました。
2. 過剰なトラフィック生成
不正行為者は利益を追求し、シーズンのトレンドと一致しない大量の偽トラフィックを生成しました。以下のグラフに示されています:
3. 不透明な匿名化IPプロキシ
不正行為者は透明性の低い匿名化IPプロキシを利用しました。添付のスクリーンショットに示されるように、その一つを簡単に確認すると、明らかな不備が判明します。クライアントの証言が「John Doe」や「Jane Smith」のような一般的な名前で記載され、偽の画像や不完全なURLが使用されている点は、透明性の欠如を示す兆候です。さらに、その一部のIPアドレスは、第三者のIP報告サイトによって悪用報告されています。
以下の図にも示されるように、不正業者は現実的なIPをシミュレートする点でも失敗しています。
4. ユーザー行動の多様性の欠如
不正行為者がデバイスの多様性を無視した点は、もう一つの手がかりです。各デバイスはほぼ同じ数のインプレッションを記録しており、これは非常に不審な特徴です。
5. 不自然なユーザー活動
DVの分析ツールは、通常のユーザー行動から逸脱するパターンを検出する能力に優れており、ShadowBotの場合、各デバイスは極めて短い時間で大量の偽のバンドルにアクセスしていました。ShadowBotのデバイス挙動は、以下に示したように、デバイスはわずか9分で10のアプリケーションを切り替えていました。これは本物のユーザーには不自然なパターンです(ほとんどのユーザーは1日あたり1~2つのモバイルゲームをプレイするかもしれませんが、9分で10つのゲームをプレイする人はいません)。前述の通り、これらのアプリケーションは偽装されており、IVT活動には関与していません。
DVのアドフラウドソリューション
DVは過去数年間で、ウェブ、アプリ内、ストリーミング/CTV詐欺のスキームを数十件特定してきました。特定の種類のフラウドは、単独では有害でない合法的なデバイスやアプリを悪用するため、検出が困難な場合があります。DVは高度なツールとアルゴリズムを開発し、感染した個々のインプレッションを正確に特定し、クライアントに最大限の保護を提供します。DVは、広告主がアドフラウドを効果的に管理するためのツールとインサイトを継続的に提供し、すべてのクライアントのキャンペーンが正確で信頼できる結果を届けるよう努めています。