「ドメインのなりすましは、即座の対応を要する深刻な問題ではない」と信じ込んでいる方々へ、一言だけ申し上げたい。「メスボット」だ。海外の詐欺グループによって作成されたメスボットは、6,000のパブリッシャーをなりすまし、マーケティングブログ(および本来その収益を得るはずだったパブリッシャー)から、1日あたり約300万~500万ドルをだまし取った。
そして、この問題は収まる気配を見せていない。2017年9月、フィナンシャル・タイムズ(FT)は、自社のサイトを装ったドメインに関する調査結果を公表した。同紙は、驚愕の事実を発見した。「FT.comを装った広告枠に対するディスプレイ広告が10の広告取引所で、動画広告が15の取引所で確認された。しかも、FTはプログラム取引による動画広告の販売すら行っていないにもかかわらずである」(強調は筆者による)。3
毎年どれだけの金額が盗まれているかを正確に把握するのは困難ですが、これは数十億ドル規模の犯罪であり、法執行機関は被害者自身にその対策の大部分を任せてきたと言っても過言ではありません。幸いなことに、この問題に対処する上で大きな役割を果たす戦略が今や存在します。それが「ads.txt」です。
ads.txt とは何ですか?
Ads.txtは、透明性を確保することでドメインスプーフィングを根絶しようとするIABのプロジェクトから直接生まれたものです。IABは次のように説明しています。「Ads.txtは『Authorized Digital Sellers』の略であり、パブリッシャーやディストリビューターが、自社のデジタルインベントリの販売を許可した企業を公に表明するために利用できる、シンプルで柔軟かつ安全な手法です。」4
基本的に、ads.txt により、パブリッシャーは、自社のインベントリの販売または再販売を誰に許可したかを、デマンドサイドプラットフォーム(DSP)に対して明示的に伝える権利が与えられます。したがって、ads.txt に参加またはこれを適用している DSP が、アドエクスチェンジから入札リクエストを受け取った際には、その販売者が当該パブリッシャーのインベントリを販売する権限を実際に有しているかどうかを確認することができます。権限がない場合は、そのリクエストは無視されます。
パブリッシャーは、自社の認定デジタル販売業者をDSPにどのように通知しているのでしょうか?
その仕組みは驚くほどシンプルです。パブリッシャーは、ルートドメインおよび必要に応じてサブドメインに「/ads.txt」ファイルを配置するだけです。このファイルには、承認されたすべての販売業者および再販業者が、パブリッシャーと提携する各販売業者・再販業者に割り当てられた一意のID(SSPによって割り当てられる)とともに記載されています。DSPは、これらのIDに基づいて、その販売業者がパブリッシャーと直接的な関係にあるか、あるいは間接的な関係にあるかを判断します。
つまり、DSPはすべてのパブリッシャーからad.txtファイルを積極的に収集しなければならないということですか?
そうですね。でも、思ったより簡単です。こうしたリストは、掲載している出版社ならどのサイトでも簡単に見つけることができます。URLは、その出版社のトップページに「/ads.txt」を付けたものです:publisher.com/ads.txt
さらに、IABは実際に、誰でも利用できるクローラーを開発しました。これにより、パブリッシャーのウェブページを検査し、ads.txtファイルが公開されているかどうかを確認したり、すべてのIDやパートナーを把握したりすることができます。この情報が手に入れば、DSPは(パブリッシャーが実際にads.txtファイルを公開している限り)、検証済みのIDが欠落しているリクエスト元からの入札を、もはや受け付けなくなります。
ads.txt ファイルが公開されている場合、それ自体も偽装される可能性はあるのでしょうか? 詐欺師たちが、単にそのファイルを自身の入札リクエストに含めることを、何が阻止できるのでしょうか?
これらの一意のIDは、SSPによって各ドメインに割り当てられており、非表示にしたり上書きしたりすることができないため、偽装することはできません。例えば:
例えば、私がNYTIMES.COM を所有しているとします。SSP.com と提携関係を結び、SSP.com から PUBID として 12345 を割り当てられました。 そこで、ads.txtファイルに「SSP.com 12345 Direct」を記載します。SSP.comがこのサイトに対して入札リクエストを送信する際は、常にNYTIMES.comのpubIDとして12345が含まれるようになります。ads.txtファイルを作成しているため、DSPは自社のクローラーでこれを検証し、情報が一致していることが確認できれば、私から広告枠を購入することになります。
例えば、あなたが FAKENYTIMES.COM を所有しているとします。SSP.com と提携関係を結び、SSP.com から PUBID 67890 を割り当てられたとします。 ところが、あなたはads.txtファイルに「12345」を記載して、私をなりすまそうとします。たとえ何らかの方法でドメインのなりすましに成功したとしても、SSP.comは依然としてあなたに割り当てられたPUBID(67890)をDSPに伝達します。これはあなたがサイトに記載した内容と一致しないため、DSPは広告を購入しません。
パブリッシャーがads.txtファイルの作成や管理を行わない場合でも、ads.txtは機能するのでしょうか?
いいえ、認証を行うためには、パブリッシャーが ads.txt ファイルを作成する必要があります。このアプローチの欠点の一つは、ads.txt ファイルの維持管理がパブリッシャー側に求められることです。この維持管理の負担により、多数のウェブプロパティを保有し、数百もの販売業者や再販業者を抱えるパブリッシャーは、すぐにこの仕組みを導入することをためらう可能性があります。
さらに一歩踏み込んで言えば、この対策がドメインスプーフィングを完全に根絶できるのは、プレミアムパブリッシャーの大多数が ads.txt ファイルを作成・維持する場合に限られます。臨界点に達するまでは、ドメインスプーフィングは引き続き深刻な犯罪であり続けるでしょう。
ads.txtが成功するためには何が必要でしょうか?
この取り組みの成否は、DSP各社がどのようにこれを取り入れるかによって大きく左右されるでしょう。というのも、取引所における購入決定を最終的に下すのはDSPだからです。最大手のDSP――とりわけGoogle――は、2017年11月1日までにads.txtを導入する計画であることを明らかにしています。
つまり、少なくとも当初は、サイトに有効なads.txtファイルが存在する場合、DSPはそのページで承認されたデジタル広告販売業者を尊重し、それらのパートナーからのみ広告枠を購入することになるでしょう。
しかし、ウェブサイトにads.txtファイルが公開されていない場合、そのサイトは「不明」として扱われますが、DSPによってはそれでも広告枠を購入することを選択する場合があります。つまり、一部のDSPは通常通り対応する可能性があるということです。
販売者や再販業者を検証するのはそれほど簡単なのに、なぜDSPはこれまで通り事業を続けるのでしょうか?
パブリッシャーが有効なads.txtファイルを公開していないからといって、必ずしもそのパブリッシャーから広告枠を購入することがリスクになるわけではないことに留意してください。単にads.txtファイルを作成する時間がなかっただけかもしれませんし、あるいは商戦期に作成するのは賢明ではないと考えている可能性もあります。 ads.txt ファイルの作成には、その定義上、パブリッシャーが自社のエコシステム内のすべての販売業者や再販業者を評価することが求められます。これは、各社がもたらす価値や、その関係を維持すべきかどうかを評価する絶好の機会でもあります。これは膨大な作業となるため、広告需要が落ち着く2018年第1四半期まで先送りしたいと考えるかもしれません。
また、DSP側にもリスクは存在します。あるDSPが、有効なads.txtファイルを持つパブリッシャーからのみインベントリを購入することを選択したと仮定しましょう。しかし、かなりの数のパブリッシャーがそのようなファイルを作成できていないとします。その場合、そのDSPは今後のキャンペーン実行において、すぐにスケーラビリティの問題に直面することになるでしょう。
DSP、ひいては業界全体にとっての課題は、効率的かつ拡張性のある方法でads.txtを導入しつつ、認証済みと未認証の両方を同時に購入することで、その本来の目的を損なわないようにすることです。
ads.txtを採用しているウェブサイトはいくつあるのでしょうか?
断言するのは難しいですが、導入は当初は遅々として進みませんでしたが、ここ数ヶ月で加速しています。2017年10月時点では、まだ広く普及しているとは言えません。
