アドフラウド入門:ボットの基本6種

2019年07月11日 By IAS Japan Team

アドフラウドで代表的な手法に、ボットを使った不正が挙げられます。

そもそもボットとは何でしょう。

「人間による操作や作業を代替したり、人間の行為を模して人間のように振る舞い、自動的・自律的に行動するソフトウェアやシステムなどのこと」
(出典:e-Wrods IT用語辞典

ボットはIT用語で、ロボットの略です。ボットは必ずしも悪意を持ったものとは限らず、例えばメーカーのサポートサイトなどでチャットサポートを提供してくれるような有益なボットもたくさん存在します。

本稿では次々と現れる不正ボットを挙動や目的によって分類し、代表的なものについて解説します。


Standard Bots(スタンダードボット)

一番多く確認されるボットの種類が、スタンダード・ボットと呼ばれるタイプのものです。
IE基盤のマルウェアのような基本的なボットで、複数セッションを同時に誘発する典型的なタイプのボットです。レジストリ値に不正なコードを隠蔽することでユーザーから自分の存在を隠し、感染した端末から削除されるのを回避し、不正クリック詐欺などの活動を行うPoweliksなどが有名です。

 

 


 

Volunteer Bots(ボランティアボット)

クラウド側に浸透するタイプのボットで、ボットがインストールされたユーザー端末をネットワーク化しボットネットを構築します。
有名なものにHitLeapがあります。HitLeapのWebサイトは「トラフィック・エクスチェンジによって無料のトラフィックを大量に得られる」などと謳っています。URLを登録してソフトウェアをダウンロードすると、パソコンの画面隅に専用ブラウザを小さく起動し、HitLeapサイトに登録している多くのユーザーが登録したURLにアクセスし続け、トラフィックを発生させます。

 

 


Nomadic Bots(ノーマディックボット)

プロキシサーバーやVPNに浸透し、ネットワーク情報を隠すボットです。
アクセス元情報のキーとなるネットワークロケーションを取得できなくするため、通常のユーザー認証技術ではアクセス元を特定することが難しくなります。

 

 

 


 

Sitting Ducks(シッティングダック)

ユーザーのデバイス側に浸透しているボットです。
ブラウザ基盤ではないため、ブラウザに依存せずにさまざまな不正行為を行うことができます。

 

 

 


 

Profile Bots(プロファイルボット)

プレミアムサイトに長時間滞在し、クッキーを獲得して価値あるユーザーに成りすますボットです。有名なものに、Avireenと呼ばれるボットがあります。AvireenはAndromedaと呼ばれるマルウェアシステムの一部で、ランサムウェア(身代金詐欺)など多くの不正行為を行います。ブラウザを不正に操作し、マウスの動きやクリックなどを偽装します。

 

 


 

Masked Bots(マスクドボット)

ブラウザの要素を装い、検出をされることを避けて行動を隠蔽するボットです。

 

 

 


 

悪名高いボットには亜種が登場するなど、さながらウイルスのように増殖し、進化し、広告予算をかすめ取ろうと虎視眈々と狙っています。IASではフラウドに使用される悪意あるボットによるトラフィック(SIVT=Sophisticated Invalid Traffic)と、Googleのクローラーなど不正を意図したものではない無効トラフィック(GIVG=General Invalid Traffic)を判別し、SIVTのみをフラウド/不正インプレッションとして検出しています。これはMRCがアドベリフィケーションベンダーを認定する際の最低条件でもあります。

アドフラウド対策を検討される際には、SIVTとGIVTを区別できるかどうかを一つの目安としてみてください。