Bruce Schneier Counterpane Internet Security
「CRYPTO-GRAM July 15, 2006」より

 米Googleの年間60億ドル規模の広告事業が,危険にさらされている。広告を見ているのが生身の人間であると保証できないからだ。この問題は「クリック詐欺」と呼ばれ,基本的には2種類に分類できる。

 ネットワーク・クリック詐欺の場合,まず自分のWebサイトに「GoogleAds」による広告を掲載する。誰かがこの広告をクリックすると,そのたびにGoogleはWebサイトの運営者に広告掲載料を支払う。仮に,広告を掲載した人物が自分で広告を何度もクリックしたり,繰り返しクリックするプログラムを書いたりしたら,詐欺を働いたことになる。この種の詐欺はすぐGoogleに見つかってしまうので,知恵のあるネットワーク・クリック詐欺師は,異なるIPアドレスのパソコンからクリックしているかのように装ったり,他人のパソコンにトロイの木馬を仕込んで偽のクリックを実行させたりする。

 もう一種類のクリック詐欺は,企業間の競争に関係する。ある企業がGoogleの広告サービスを利用し,クリック回数に応じた広告料を支払っていたとしよう。このことを知ったライバル企業は,上述したネットワーク・クリック詐欺の手口を使ってライバル企業の広告を何度もクリックすることで,無駄な広告料を支払わせることができる。場合によっては,巨額の広告料が発生する(「Click Monkeys」と呼ばれるいたずら請負サイトは,依頼されるとクリック詐欺を実行してくれる)。

 クリック詐欺は,以前からみられる“セキュリティの軍拡競争”の様相を呈してきた。Googleが詐欺検出ツールを改良すると,詐欺師がそれよりも賢い手口を編み出す――というイタチごっこが続いている。その一方でGoogleは,クリック詐欺対策が不十分であるという理由で複数の訴訟を起こされている。私には全員の主張が正しいように思える。Googleにとっては,問題を解決すると同時に,問題の重要性を小さくすることが利益となる。

 しかし最大の問題は,解決が困難なうえ重要性も高いことだ。(広告をクリックしている)パソコンの前に生身の人間が座っていたとしたら,これは詐欺になるだろうか?その人物が注意深く行動し,操作を自動化しておらず,友人の助けを借りていないとしたら,どう判断すればよいだろう?対象者の知っている情報(パスワード)や持っている物(トークン),その人自身(バイオメトリクス)などでユーザーを認証するシステムは多数市場に出ている。しかし,自分のパソコンに別人を座らせて代わりに入力させる行為や,トロイの木馬に感染したパソコンによる動作は,どのような認証システムでも阻止できない。

 同じ問題はほかの分野でも発生する。

 何年も前からオンライン・ゲームの運営企業は,プログラムを使ってうまくプレイしようとするプレーヤたちと戦ってきた。こうしたプログラムを使うと,完璧な射撃を可能としたり,通常は表示されない情報を見たりできる。

 自分以外の全員がコンピュータの力を借りていたら,ゲームなど面白くなくなる。賞金がかかっていなければ,それほど問題にならないだろうが,オンライン・ポーカーなどではそうはいかない。プレーヤがコンピュータの助けを借りていたり,それどころかコンピュータだけがプレーヤとして参加していたりするオンライン・ポーカーのサイトでは,人間など誰も参加しなくなる可能性がある。

 インターネットを見渡すと,同じ問題が繰り返し起きていることに気づく。CAPTCHA[訳注]を突き詰めると,Webサイトを訪れたのがコンピュータ上で動いているボットではなく,本物の人間であることを確認する手段といえる。一般的な実施方法だと,試験はオンライン環境で成り立たない。というのも,試験を行う側は,受験者が教科書や参考書を広げていないことや,脇にいる友人から手助けを受けていないことを確認できないからだ。どちらの場合も,もちろん試験監督を使えば解決する。しかし,この対策は現実的な解決策にならないことがあるし,インターネット試験のメリットを失わせてしまう。

(訳注:CAPTCHAとは,ユーザー認証処理などにおいて,キーワードをわざと歪ませるなど読みにくく加工した画像として表示し,それを入力させることで人間が作業していることを確認する手法。Completely Automated Public Turing Test To Tell Computers and Humans Apartの略。日本語では「キャプチャ」や「画像認証」などと呼ばれる)

 この問題は法廷ですら発生した。ある刑事裁判で,検察側が被告のコンピュータによるハッキング行為を指摘したのに対し,被告は「ハッキングしたのは別人で,誰かに自分のコンピュータが操作された」と主張したのだ。別の例では,児童ポルノで罪を問われた被告が「確かに自分のコンピュータに違法な画像は存在していたが,コンピュータは誰でも入れる部屋に置いてあり,何度もパーティを開いたことがある。わいせつ画像をダウンロードしたのは自分でない」と訴えた。

 何年か前,私はセキュリティについて話した際に,パソコンと(パソコンが置いてある)座席との繋がりについて不満を述べた。デジタル情報がデスクトップ・パソコン上にあったり,パソコンからパソコンに転送中だったり,大きなサーバー上にあったりする場合は,容易に保護できる。保護が難しいのは,情報がパソコンから人間に移るときだ。同様に,パソコン自体を認証することは,その前に座っている人間を認証するよりはるかに簡単に行える。データの真正性を検証することと,そのデータをみている人間の真正性を検証すること(つまり,その人間が本物かどうか確認すること)を比べると,後者の方がはるかに難しい。「検証(verify)」という言葉に含まれる,「対象が本物であることを確かめること」と「対象が本物であると立証する」という両方の意味で難しい。

 コンピュータが上手に人間を真似るようになればなるほど,この問題はより深刻になる。

 Googleはクリック詐欺の対策として,「cost per action」(行動に応じた課金)と呼ぶ新しい広告モデルを試験中である。この広告モデルでは,商品の購入やアンケートへの回答といった特定の行動を顧客が取らない限り,広告主は広告料を払わない。これを実際に機能させることは難しい。今後Googleは,ただ単に広告を掲載するだけの業者から,最終的に商品を購入させるパートナとしての色合いを濃くするだろう。これは,クリック詐欺に対する正しい対応である。ゲームのルールを変えることで,クリック詐欺を割に合わなくするのだ。

 これこそ,セキュリティ問題を解決する方法なのだ。

Googleに対する訴訟:
http://www.sfgate.com/cgi-bin/article.cgi?f=/c/a/...
http://www.marketwire.com/mw/release_html_b1?...

いたずら請負サイト「Click Monkeys」:
http://www.clickmonkeys.com/

CAPTCHAの解説:
http://en.wikipedia.org/wiki/Captchas

Googleによる「行動に応じた課金」広告モデルの試験:
http://www.betanews.com/article/...

Copyright (c) 2006 by Bruce Schneier.


◆オリジナル記事「Google and Click Fraud」
「CRYPTO-GRAM July 15, 2006」
「CRYPTO-GRAM July 15, 2006」日本語訳ページ
「CRYPTO-GRAM」日本語訳のバックナンバー・ページ
◆この記事は,Bruce Schneier氏の許可を得て,同氏が執筆および発行するフリーのニュース・レター「CRYPTO-GRAM」の記事を抜粋して日本語化したものです。
◆オリジナルの記事は,「Crypto-Gram Back Issues」でお読みいただけます。CRYPTO-GRAMの購読は「Crypto-Gram Newsletter」のページから申し込めます。
◆日本語訳のバックナンバーは「Crypto-Gram日本語訳」のページからお読みいただけます。
◆Bruce Schneier氏は米Counterpane Internet Securityの創業者およびCTO(最高技術責任者)です。Counterpane Internet Securityはセキュリティ監視の専業ベンダーであり,国内ではインテックと提携し,監視サービス「EINS/MSS+」を提供しています。