モバイル不正検出のベストプラクティス

概要:AppsFlyerとProtect360を使用して不正を検出します。

best_practices.png

はじめに

AppsFlyerでは、AppsFlyerが持つ比類のないスケールのモバイルデバイスデータを活かし、広告主アカウント向けに業界で最も包括的なリアルタイムの不正対策を提供しています。すべてのアカウントを対象に基本的な不正対策はなされていますが、Protect360パッケージを利用しているアカウントでは、不正防止対策における完全なソリューションをお楽しみいただけ、広告主様が抱える蓄積された膨大な不正被害を防ぐことができます。

ただし、全ての不正をリアルタイムで阻止できるわけではありません。不正行為はより洗練されてきており、不正アクティビティを検出するためには、実践的な対策を要しています。

Protect360は、広告主様向けにこれらの洗練された不正行為を検出するためのツールを提供します。

この記事では、AppsFlyerのクライアント向けに、モバイル不正を検出し、さらなる損害を防ぐためのベストプラクティスについて説明します。

不正検出はいつ実行すべきですか?

すべてのクライアントアプリに対して定期的にこれらのチェックを実行することをお勧めします。

定期的なチェックの間隔が短いほど、不正の発生源を迅速に検出し、潜在的な被害を回避できます。

ユーザーはどのように不正を検出できますか?

1. 管理画面のオーバービューページ:Protect360をご利用いただいていない広告主様は、アプリごとにロイヤルユーザー率アプリ内イベントパフォーマンスなどのKPIを使用することで、疑わしいソースを検出できます。不正なメディアソースの場合、前述のKPIは必然的に非常に低くなります。また、異常に高いアンインストール率も不正トラフィックを示唆する非常に有効な兆候です。アクション:オーバービューページでメディアソースとキャンペーンデータを重要なKPIで比較しましょう。

2. Protect360:Protect360をご利用のクライアントは、不正をアカウントレベルまたは単一アプリレベルで検出できます。Protect360が有効なアカウントでのみ、次の検出方法がご利用いただけます。

  • 新規デバイス不正
  • 追跡型広告の制限(LAT)不正
  • インストールハイジャック
  • クリック洪水

各不正タイプに関するシンプルな説明については、こちらをクリックしてください。

Protect360を使用したアカウントレベルの不正検出

次の手順では、AppsFlyerが推奨する不正インストールの定期的な検出方法について説明しています。

基本的なProtect360の設定

  1. いずれかのアプリの管理画面で、Protect360をクリックします。

  2. 高度な検出をクリックします。
  3. フィルタオプションを使用して、メディアソース + サイトIDでグループ化し、全てのメディアソースの全てのパブリッシャーを比較します。

  4. 特定の単一アプリやいくつかのアプリのみに焦点を当てたい場合は、アプリのフィルタボックスにて選択してください。それ以外の場合は、デフォルト値である全てのアプリのままにします。

  5. 日付範囲のセレクターを使用して、関連する期間を適用します。

  6. 追加のフィルタオプションは、詳細フィルタ Advanced_Filtering.png をクリックしてください。

  7. 最小コホートサイズを設定することで、重要性の低い(数の少ない)パブリッシャーを除くことができます。推奨値は10以上です。データは自動的に更新されます。

次の検出プラクティスは、基本セットアップ後のみに実行してください。

新規デバイスによる不正の検知

不正集団は、デバイスの主なIDであるIDFA (iOS) やGAID (Android) を頻繁にリセットしてデバイスをマスクする可能性があります。AppsFlyerのSDKは世界の95%以上のデバイスに存在するため、AppsFlyerはほとんどのモバイルデバイスを認識しています。

不明なデバイスからインストールメッセージを受信した場合、これはデバイスランクN、つまり新規デバイスとラベル付けされます。意図的に新規デバイスをターゲットとするキャンペーンを実施していない限り、新規デバイスが高い割合を占めている場合、デバイスファームによる不正が発生している強い指標となります。

1. 不正タイプのドロップダウンから、インストール不正を選択します。
install_fraud_select.png

2. グラフの右側に位置する、または60%以上が新規デバイス (コホートサイズが100以上) の場合、新規デバイス不正の疑いがあります。コホートサイズが1000以上の場合は、40%以上であればそのソースは不正の疑いがあります。

大部分が0~20%であるのに対して、新規デバイスが100%のサイトIDは高確率で不正の可能性があります

3. 不正かどうかが明確でない場合は、集約不正レポートで新規デバイスのロイヤルユーザー率を確認してください。その割合が低い場合、不正の強い兆候を示しています。

ロイヤルユーザーが実在するものの比較的低い割合であり、この新規デバイス率が100%のメディアソースは不正の可能性が高いといえます。

 注記

通常プリインストール済みアプリのキャンペーンでは、新規デバイス率が非常に高くなります。これは、ユーザーが新しいデバイスをアクティベートした時に起動する初期アプリであるためです。したがって、プリインストールアプリに関しては、新規デバイス率が高い場合でも、デバイスIDリセット不正の可能性は低いといえます。

LAT不正の検知

LAT(広告トラッキング制限)ユーザーは、広告主にデバイスID、IDFA、GAIDの開示をしない(オプトアウトする)選択をしています。iOSユーザーの約15%、Androidユーザーの約10%がLATを選択しています。

新規デバイス率と同様に、LATユーザーも正当なユーザーの可能性があります。ただし、LATユーザー率が高いと、不正行為の兆候を示している場合があります。

1. 不正タイプのドロップダウンから、インストール不正を選択します。

2. 分布グラフから、LATインストールを選択します。

LAT_devices_select.png

3. グラフの右側に位置する、またはLATユーザーが40%以上のソースの場合、LAT不正である疑いがあります。

4. 不正かどうか明確でない場合は、集約不正レポートでLATデバイスのロイヤルユーザー率を確認してください。ロイヤルユーザー率が低い場合は不正である兆候が強いです。

LATデバイス率が100%である場合、不正の可能性が高いです。
LATデバイス率が57%でロイヤルユーザー率が62%の場合、不正の可能性もありますが、実在するユーザーの動向の可能性もあります。

クリック洪水の検知

クリック洪水を使って、不正集団は、実在するユーザーのラストクリックを奪う目的で、本物のデバイスIDで何百万回ものクリックを送信します。このタイプの不正が発生しているソースは、非常に低いコンバージョン率を示しますが、ユーザーは実際はオーガニック経由のため、ユーザーの質は高い傾向にあります。

このクリックは実在するユーザーによるものではないため、通常のユーザートラフィックと比較してCTITはより均等に分散されます。

1. 不正タイプのドロップダウンから、クリック洪水を選択します。

2. CTITウィジェットで「Days」の範囲を選択します。通常のユーザーの分布は、日が経つごとに急激に低下しますが、均等にユーザーが分散している場合はクリック洪水である可能性が高いです。

3. 集計パフォーマンス不正レポートへスクロールダウンします。

4. 60分以上の列を一度クリックして、降順に並べ替えます。
ソースごとの60分以上の値が、50%より高い場合、クリック洪水を疑ってください。

5. 疑わしいソースについては、次のKPIの異常値を確認します。

  • 通常のコンバージョン率は、0.5~35%です。平均値と比べて異常に低いコンバージョン率は、クリック洪水不正を示唆しています。
  • コントリビューション率がアプリに対して平均より50%高い場合は、不正の疑いがあります。アプリで使用されているメディアソースの数が多いほど、そのコントリビューション率が高くなります。

通常のクリック分布

クリック洪水の疑われる場合

インストールハイジャックの検知

不正業者は、アプリのダウンロードが発生するとアラートを出すマルウェアをモバイルデバイスにインストールします。その直後に、クリックがAppsFlyerに送信され、そのインストールの成果を横取りします。これらのインストールハイジャックは、非常に短いCTITクリックからインストールまでの時間)を持っています。最短のCTITを持つインストールは自動的にブロックされますが、この時間が多少長いインストールは検知が必要となります。

検証ルール機能が有効になっているクライアントは、独自のCTITしきい値を設定することで、自動的に不正インストールをブロックできます

CTITしきい値を見極める

CTITグラフに通常の曲線(下記参照)が表示されない場合は、不正が発生していると思われます。異常なCTITグラフは「谷」のような曲線を示し、疑わしいインストールはグラフの左側の部分で、右に行くほどに通常の曲線になっていきます。この谷の位置が、CTITのしきい値を定義すべき場所です。

谷の右側にしきい値を配置すると、有効なインストールをブロック(誤検出)してしまいます。

谷の左側にしきい値を配置すると、若干の不正インストールを受け入れることになります。

1. CTITグラフにて、Seconds の範囲を選択します。

通常、アプリのサイズ、接続スピード等によりますが、ベルカーブ(正規分布曲線)は、CTITが40~70秒前後でピークになるはずです。30秒未満にトラフィックのスパイクがある場合は、不正の疑いがあります。

通常の曲線

CITIグラフの15秒時点に谷が見られます。5秒時点に大きなスパイクがあり、
インストールハイジャックの可能性が高いといえます。

2. 集約不正レポートでインストールハイジャックを選択します。

3. 10秒までをクリックします。20%を超えるソースは、インストールハイジャックの疑いがあります。

4. 30秒以上をクリックします。70%未満のソースは不正の疑いがあります。

4つのサイトで、CTITが10秒以内のインストールが20%を超えており、30秒以上のインストールが70%を下回っています。これは不正の可能性が非常に高いといえます。

高度な不正防止のヒント

インストール数

最大の不正ソースを検出するには、チェックされたソースごとのインストール数でフィルタリングすることが重要です。加えて、インストール数が少ないことは、数字上重要とはいえない可能性があります。

 ヒント

最小コホートサイズを30以上に設定し、信頼性が高く重要な結果のみを受信するようにします。

ロイヤルユーザーの定義を変更する
ロイヤルユーザーのデフォルトの定義はアプリの3回以上起動となります。これはユーザーエンゲージメントの重要なKPIのひとつですが、残念なことに不正を行う人の多くがこのことを知っていて利用しており、高いロイヤルユーザー率を偽装して疑いを逃れています。より優れた、複雑化したロイヤルユーザーの定義を作成して選択することで、不正を回避します。

 ヒント

登録、チュートリアルの完了、購入、複数のセッションなど、アプリのユーザー品質のKPIを分析します。ユーザーがKPIの全リストを実行した場合に、新規のロイヤルユーザーのアプリ内イベントを送るようアプリコードを実装します。

最初の非オーガニックのロイヤルユーザーイベントが送信されたら、アプリ設定に移動し、アプリのロイヤルユーザーをそのイベントに設定します。ロイヤルユーザー率はわずかに低下することが予想されますが、不正なソースの場合は著しく低下すると予想されます。

疑わしいソースを見つけたときの対処法は?

モバイル不正の大部分は、アドネットワークを欺くパブリッシャーから発生しています。つまり、広告主とアドネットワークは不正を阻止するという共通の目的を持っています。

 アクション

1. 疑わしいソースからのトラフィックの流入を停止するようにネットワークに通史します。
2. インストールに関するローデータレポートの Attributed Touch Time という項目を使用して、停止リクエストを受信したあとに、疑わしいソースからインストールが発生していないことを確認します。

アドネットワークやAppsFlyerのProtect360ツールを使用して検知された不正の規模によって、過去に発生した疑わしいソースからのトラフィックに対して一部または全額の返金を受け取れる場合があります。

この記事は役に立ちましたか?