不正トラフィックは株価や企業の信用すら損なう

　不正トラフィックの軽視による大損害の例として、廣瀬氏は決済サービス「PayPal」で新規顧客獲得に向けた「決済時10ドルのプレゼントキャンペーン」を紹介した。この時登録された大量のアカウントのうち、450万件が不正ユーザーによることが発覚。このアカウントの停止を発表した瞬間に、株価が25％以上も下落してしまう。これについて株主や機関投資家は450万アカウント×10ドルの損失そのものより、その金額が反社会的勢力やブラックマーケットの人に流れたことを「間接的に支援した」として、非難したのだという。

　福田氏も、前職の金融機関で不正利用の発生がSNSで広まり、評判を落とすという経験をしている。この時は結果として、実際の申し込みに影響を及ぼしたり、解約につながったりしたという。さらにこうしたセキュリティインシデントは、各種機関への報告が大きな負担となり、オペレーションコストも増大する。年に数回起きていることを鑑みると、バックエンドのコストや売り上げロスを削減するために、しっかりコストをかけて防ぐほうが賢明と思われる。

　さらに廣瀬氏は「よくある例」として、まずは「デジタル広告の被害事例」を紹介した。多くの企業は、代理店や各媒体経由で検索広告やディスプレイ広告、SNS広告などを活用し、広告経由で消費者を自社のビジネスにつなげる活動を行っている。廣瀬氏は「これを見てクリックするのは消費者だけではない」と語る。つまり、悪意あるユーザーによるクリックで無駄な広告費用が発生しており、しかもそのクリックには人ではなく手軽なBOTが使われているというのだ。

　また、Googleなどで社名などを検索すると「検索広告」としてスポンサー会社の広告が出るが、それを閲覧しているのは必ずしもユーザーとは限らない。

　毎週日曜日の夜にテレビCMを打っているチェクのクライアント企業は、毎週月曜日の朝に検索広告経由でのサイト流入が急増していることを知り喜んでいたそうだ。ただ、実際に調べてみると、競合他社からのアクセスが多くを占めていたことがわかった。もちろん競合他社も決して悪気があったわけではないだろう。従業員に「毎週月曜日に出社後、競合他社の情報を調べよ」と指示が出ていれば、Google検索を使って検索広告をクリックするのも当然といえるからだ。しかし、広告経由では1クリックあたりの費用がかかり、競合他社の規模が大きければ大きいほど、大きな金額が出ていく。仮にクリック単価を100円とすると、1,000人のクリックで10万円にも上る。対策をしなければ、無駄な広告費を垂れ流し続けることになってしまう。そこで現在、B社には広告が出ないように調整しているのだという。

　そしてもう1つ、成果報酬型の広告である「アフィリエイトにおける被害事例」が紹介された。ある企業でアフィリエイトサービスプロバイダーを通してアフィリエイトサイトに広告を出したところ、違法アダルトサイトに1×1ピクセルという人の目には見えない形でこのアフィリエイトサイトが表示されていることがチェクの調査でわかった。消費者は、違法サイトで動画を見たりページを遷移したり瞬間に、アフィリエイトサイトに来たという「Cookie」を勝手に付与され、後日、他から経由して企業サイトへ来訪し、会員の申し込みをすると、そのアフィリエイトサイト経由で申し込んだように見える。しかし、アフィリエイトサイトが貢献していないのは明らかであり、反社会的勢力やブラックマーケットの関与も想像できた。コンプライアンス的にも早急な停止が最善と思われた。

　福田氏は「特にアフィリエイトに関しては結構盲点となっている。基本的に最後に触れた時点でパラメータを付与し、成約時にそれがついていたら成果を付与するという仕組みが大半だが、そのラストタッチが正確なのか検証している会社は少ない。となると目視は難しく、ツールを活用して未然に防ぐ、もしくは起きていることを発見することが望ましい」と語った。

　この手法は日本で発見され、既に複数社で被害が発生しており、悪意ある側も常に新しい方法を模索しては実践していく、いわばイタチごっこの感がある。たとえ企業で対策を打って解決しても、結局は一時しのぎに過ぎず、次から次へと新しい詐欺が発生し、被害が発生し続けることになる。そこで、その都度対応ではなく、「未然に防ぐ」ことを考えることが望ましい。福田氏は「社会悪を退治するという意味でも、企業が取り組む姿勢を表すべきではないか」と語った。

　さらにもう1つ、「偽造サイトによる被害事例」も紹介された。偽造サイトで個人情報を抜くというケースは、広告をよく出す企業であるほど狙われやすく、昨年は、そっくりのデザインでサイトを作られ、ドメインも1文字違うだけというフィッシングサイトが横行し、広告経由で遷移した顧客情報が抜き取られた。問い合わせでそれを知るということが頻発したが、サイトのコピー自体を防ぐしかやりようがなく、今後も起こりうると思われる。