ブログ Googleの新しいPlay Referrer APIで クリックインジェクショ...

Googleの新しいPlay Referrer APIで クリックインジェクションを撲滅

Googleが新しいReferrer APIへ移行したことが市場で歓迎されていますが、Googleが今回の移行へ踏み切った背景をご存知の方は、多くないのではないでしょうか。

今回の移行は、アドテクノロジー業界において、いくつかの点でメリットがあります。 ユーザーのアプリインストールから初回起動までのコンバージョンファネルについて、より細かく情報が取得できるようになったこと、Google Playストアのリファラーのセキュリティが高まったこと、そして何よりも、この追加で取得できるようになったデータによってクリックインジェクションの撲滅が可能になることが挙げられます。

第1のポイント:クリックインジェクション

クリックインジェクションは、アプリのインストール直後に送られるGoogle Playストアのリファラーブロードキャストだけを頼りに行われていると認識されているため、クリック インジェクションを防止するために、何故、追加のデータが必要なのか疑問に思われているかもしれません。アプリ(計測SDK)が利用できる実際のインストール タイムスタンプ(Googleにより2010年12月のAPI 9で利用可能)は、package_addedブロードキャストの20から2ミリ秒前の時間であり、この方法を使うすべてのクリックスパムを一掃するには十分な長さだからです

では、ユーザーがGoogle Playストアでダウンロードボタンをクリックしたときのタイムスタンプ(install_beginタイムスタンプ)を取得できることに、どんな意義があるのでしょうか?

実は、もう一つの、別の手法を使ったクリックインジェクションを防止することが可能になり、これで全てのクリックインジェクションを防止することができるようになったのです。その別の不正の手法とは、PACKAGE_ADDEDというリファラーブロードキャストを使わず、ハッカーが、Google Playのダウンロードのコンテンツ プロバイダを悪用するものです。このコンテンツ プロバイダ自体は、アプリのダウンロードに関する一時的なデータを保持しています。ハッカーはこのデータベースの動作に「反応して」データベースの挙動をモニタリングしており、アプリのダウンロードが新たに始まったときなど、データベースに変化が起きるたびにハッカーに通知が届くようになっています。つまり、彼らはダウンロードが始まったアプリを特定できてしまうだけでなく、インストール完了前のタイムスタンプを入手することができてしまいます。こうした理由から、アプリがダウンロードされる瞬間とインストールが完了したその瞬間を示すデータが非常に重要になります。このデータは、インストールに関する情報の流出を阻止するタイミングより前に、確実に記録されています

第2のポイント:偽装リファラー

Check Pointが最近発表したところによると、マルウェアの中には、コンテンツプロバイダの脆弱性を利用したクリックインジェクションを行うだけでなく、Androidのリファラーブロードキャストをブロックして、マルウェア自身がリファラーになりすまし、不正にアトリビューションの可能性を高めようとするものがあると述べられています。

Google Playストアのリファラー情報はこれまで、アトリビューションのウォーターフォールで最も信頼できるとされてきたデータです。しかし、前述の偽装リファラーの存在は、アトリビューションを行う企業や独自のアトリビューション ソフトウェアを開発している広告主にとって、Google Playストアのリファラー情報を完全には信頼できなくなったということを意味します。

Googleは、アプリのリファラー情報はそのアプリ自身しかリクエストできないようにAPIを安全なものに変更しましたが、この大幅な変更の背景にはこうした脅威があったのです。

第3のポイント:コンバージョン ファネルのインサイト

ここ数年、モバイル パフォーマンスにおけるユーザー操作のタイムスタンプを基にしたコンバージョンファネルは、次のようなものでした。

  • インプレッション(あまり活用されていない)
  • クリック
  • インストール(実際にはアプリの初回起動)
  • 広告主が設定しているインストール後のイベント(初回の購入など)

今年Googleが利用可能にしたデータ ポイントを使うことで、豊富な情報からより詳細な分析が可能になり、次のような流れになるでしょう。

  • インプレッション(まだ十分に活用されていない)
  • クリック
  • リファラーのリダイレクト(ユーザーがPlayストアを訪問)
  • Install_begin(ユーザーがPlayストアでダウンロード ボタンをクリック)
  • Installed_at(デバイスでインストールが完了)
  • 初回起動(SDKの初期化を監視、従来のインストール タイムスタンプ)
  • 広告主が設定しているインストール後のイベント(初回の購入など)

このファネルを見れば、適切なレスポンスタイムを提供できないインストール元や、アプリストアをさらに最適化する改善の余地、技術的問題の原因(ダウンロードの初期サイズが大きいなど)を簡単に見極められるようになります。

今後はAppleも、アプリの開発者にとって透明性と価値をもたらすこのトレンドに追随してくれることを期待しています。

Adjustニュースレターに登録して、最新情報をいち早くご確認ください!