相変わらず悪い広告出稿者(広告主)の活動、サイバー犯罪者の活動が続いています。例えば、Web広告バナーで「続く」「開く」(開<)は不審な広告に分類できる危険なものです。Webコンテンツ中にこれらのバナーを表示させて次のページへ遷移するリンクと誤認させてクリックさせることを狙っています。
オンラインの広告費用は一般的に表示回数(インプレッション)によるインプレッション単価(CPM)と広告がクリックされたときに発生するクリック単価(CPC)に基づきます。広告主としては、ロゴや会社名、ブランドの認知向上やなるべく見込み顧客に見てもらい商品やサービスの認知、購入・契約につながる客にクリックしてもらいたいと考えるのが普通です。つまりむやみにクリックされたくないと考えるのが自然です。バナーに広告したい内容がないということは完全にWebサイトへの誘導目的です。Webサイトに誘導できれば利用者に対してリーチできる何かがある訳です。
例えば、デバイスやブラウザの脆弱性を突いて利用者情報を抜く、他の広告を不正にクリックさせる、情報弱者(うっかりもの、認知能力が低下した方など)への攻撃の準備(※)、誘導先のサイトと広告アカウントの実績作りなどが考えられます。
※テクニカル・サポート詐欺:偽の警告アラートを発して遠隔操作アプリやマルウェアをインストールさせたり、電話サポート費用として電子マネー等を搾取したり、PCを乗っ取って様々な不正を行う手口があります。
上のようなバナー広告の先のサイトを調べたところ、幾つもの不審点が見つかりました。ここに全部書いてしまうと対策されるかもしれないので一部を紹介すると、実在の住所、電話番号を表示していましたが地理的にも離れた複数の事業者のものでした。事業内容のカテゴリとしては類似していたもののWebページの内容とは整合しておらず広告審査用のダミーを表示していたのではないかと私は推測しています。
一般的にはビジネスで相互信頼が成り立ってから取引が始まりますが、Google広告の広告主の適格性確認プロセスは一部の広告主しか確認しないサンプリングによる審査のため悪意のある広告主が紛れ込んでしまう潜在的なリスクがあると考えられます。Google広告は掲載する広告主をサイト運営者側では選ぶことができません。広告からなりすましのサイトへの誘導により被害を受けるのを防ぐための事前確認の仕組みを実装すべきと考えます。サイト運営者側としては「広告レビューセンター」という管理画面で表示した広告を後日一つ一つ確認してブロックすることは可能ですが、サイバー犯罪者の次々にアカウントや遷移先のドメインを変えてくる手口の前に広告の管理が骨抜きにされています。適格性確認プロセスを完了した広告のみ掲載できるようにするオプションを提供すべき時期に来ていると思います。
■参考リンク
制限付きコンテンツ
Google ではユーザー保護のため、正当な適格性を有する広告主様のみに、ギャンブル、ゲーム、ヘルスケア、医薬品、金融商品や金融サービスといった規制対象の特定の業界に関連するコンテンツの宣伝を許可しています。Google のプラットフォームでこのようなコンテンツを宣伝される場合、お客様が地域の認可要件を満たしている証明として、適格性確認プログラムを完了していただくことがあります。また、追加の身元確認手続きが必要な場合もあります。
Google では、業界の変化や不正使用の傾向を考慮して定期的に広告ポリシーの見直しを行っており、特定のコンテンツに新しい適格性の確認要件を導入する場合があります。
広告主様の責任
Google 広告の利用規約に定めるとおり、Google 広告のご利用については広告主様が一切の責任を負います。適格性確認プログラムの一環として虚偽の情報を送信した場合、Google 広告の広告掲載システムの回避に関するポリシーに違反していると見なされます。適格性確認プログラムの一環として広告主様から提供された情報については、Google が最善を尽くして審査し確認していますが、広告主様のコンテンツまたは活動について保証する、または責任を負うものではありません。