英国に本社を置き、ボットの検出や保護などの管理を行うNetaceaが、2021年12月7日(火)にレポートをリリースした。レポートによると、ウェブサイト上でボットが活動することでマーケティングの分析は歪められ、企業は年間で数百万ドルの損害を受けるという。
Netaceaはレポートの中で、「歪んだ分析という問題は、クリック詐欺と同様に企業にとってコストのかかる問題だ」と主張している。
同調査は、米国と英国の旅行、エンターテインメント、eコマース、金融サービス、電気通信分野の440社を対象に行われた。ボットを利用したり、スパムコンテンツを大量に生成したりするなど、不正に広告収入を得るアドフラウドに、企業は年間で420億ドル、つまり売上の4%を費やしており、歪んだ分析結果も年間で同じくらいの損失を与えている、と指摘している。
調査対象企業の73%がクリック詐欺の影響を受けており、平均で年間4%の損失を被っていると明らかにした。また、68%は歪んだ分析結果の影響を受け、平均4.07%の損失が出ていると認めている。
レポートでは、ハッカーはボットで他の顧客より先に商品を購入したり、盗んだパスワードを使ってアカウントをハッキングしたり、盗んだカード情報が有効かを確認したり、大量のスクレイピングによってコンテンツや価格を盗んでいる、と説明している。
直接的なダメージを受けなくても、ボットによって歪められたデータによって、マーケティングチームが間違った決定をするかもしれない。また、ボットによって歪められた分析によって、消費者の行動は隠され、本物のオーディエンスをターゲットにすることができなくなる可能性があるということだ。
「実際の市場の感覚が得られないため、ボットは全ての統計を歪めてしまう可能性がある」と、カリフォルニア州ロスガトスにある企業コンサルティング会社Blue Silk Consultingの社長、Rosemary Coates氏は語る。
同氏は「市場で本当に起きている真実ではない」という。
間違ったデータによる間違った判断
これは、その場でキャンペーンをモニターしないマーケターにとっては問題となる。カリフォルニア州クパチーノにある技術調査およびコンサルティング企業であるConstellation Researchのバイスプレジデントで主席アナリストのLiz Miller氏は「大金を費やしても成果が得られないキャンペーンを止めようとしている」と語る。
さらに「誰かのツケをブランドが支払わなければならない」と続けた。
歪んだ分析は間違ったマーケティング判断を引き起こす、とレポートには記されている。この調査では、ボットによる不正確なデータにより、調査した企業の半数以上である54%が特別なプロモーションを行い、55%が新しい在庫を注文し、55%がマーケティングの予算を「使い切った」と回答している。
「ボットがウェブトラフィックの半分を占めることもあり、分析結果の偏りによる誤ったビジネス上の判断による損失は、数百万ドルから数十億ドルにも上る可能性がある」と語るのは、カリフォルニア州サンマテオにあるウェブセキュリティサービスプロバイダPerimeterXのバイスプレジデント兼セキュリティエバンジェリストであるBrian Uffelman氏。
同氏は、「ボットは、ユーザー追跡とエンゲージメント、セッション滞在時間、直帰率、広告クリック数、閲覧予約率、キャンペーンデータとコンバージョンファネルを含む、多くのKPI(重要業績評価指標)や指標を歪める」と述べた。
さらに「eコマース、旅行、メディアのサイトでは、不正なスクレイピングボットが人間を模倣して、リスト、価格、コンテンツを動的にチェックし、結果的にデータが歪んでしまう」と付け加えた。
データの信頼性を損なう
このレポートでは、大半の企業がマーケティングやその他のビジネス上の判断の少なくとも4分の1を、ボットによって歪められた可能性のある分析結果に基づいて行っていることがわかった。
偏ったデータは、マーケターを分析から遠ざけてしまう恐れがある。Netaceaの脅威調査責任者であるMatthew Gracey-McMinn氏は、「人々がデータを信頼しなくなっているのは、使えないデータに基づいた判断をしてもうまくいかないからだろう」と述べた。
「ボットのせいで、間違ったデータを得ている」と同氏。
Uffelman氏は、多くのマーケティングの専門家が「Googleアナリティクス(Googleが無料で提供するWebページのアクセス解析サービス)がボットのトラフィックを除外していると勘違いしている」と付け加えた。
彼は、「Googleアナリティクスは、スパムやクローラ(インターネット上のあらゆるWebサイトの情報を取得し、検索用データベース・インデックスを作成する自動巡回プログラム)をフィルタリングするには優れているが、現在のボットははるかに高性能でGoogleに組み込まれている機能では確実に処理できない」と語った。
「Googleアナリティクス内のフィルタ処理操作は複雑で時間のかかる作業であり、時には優良なユーザーのトラフィックを除外してしまうこともある」と続けた。「ほとんどの企業はこの問題を認識せず、間違ったデータを使って意思決定を続けてしまう」。
見当違いの信頼
WAF(ウェブアプリケーションファイアウォール:ウェブサイト上のアプリケーションに特化したファイアウォール)とDDoS(サイバー攻撃)対策システムが、ボットによるデータの汚染から守ってくれると考える企業も多く、71%がDDoS対策システムを、73%がWAFを信頼していると表明している。
「特にボットのトラフィックに関していえば、『WAFだけで十分』とはいえない」とUffelman氏は述べた。「悪意のあるボットの高度な攻撃テクニックは、WAFのボット管理技術の漸進的な改善をはるかに上回る」。
Gracey-McMinn氏は、WAFは従来のサイバー攻撃を阻止するためのもので、DDoS対策は集団攻撃に対応していると説明した。
「ボットはとても巧妙で、ウェブサイトに対してどれくらいリクエストするとDDoS対策が作動するかテストし、その数以下に抑える」と同氏。
さらに「ボットは、WAFやDDoS対策が阻止するように設計されている容量制限やSQLインジェクションのようなものではなく、ビジネスロジックの脆弱性に付け込む」と続けた。
WAFはボットに対して全く効果が無いわけではない、とフロリダのクリアウォーターにあり、セキュリティ意識を提唱する企業のKnowBe4のJames McQuiggan氏は反論する。
「ボットや不正確なデータを除外するフィルタをログ上に実装することも可能だ」と述べている。
フィルタはトラフィックソース(アクセスの経路)によるスクリーニングも含まれる。「直接的なソース接続が増えれば、ボットの可能性がある」という。
セッションの長さは、もう一つの便利なフィルタだ。「短時間のセッションが多いとボットの作動を疑うこともできる」と説明する。
IPアドレスの位置情報もフィルタとして役に立つ。「米国をベースとする英語広告に中国、北朝鮮、ロシアから大量のトラフィックがあれば、間違いなくボットだ」と述べた。
最大限の協力
ボットがデータの汚染に成功する要因は、セキュリティチームとマーケティングチームのコミュニケーション不足だ。「セキュリティチームは、何が起きているのか認識していないことがよくある」とGracey-McMinn氏は語った。
彼は、「適切な対応をするには、業務間でのコミュニケーションが必要だ」と指摘する。
「我々が始めなければならないのは、最高情報セキュリティ責任者(CISO)と最高マーケティング責任者(CMO)が共にサイバー攻撃や不正に対応することだ」と同氏は付け加えた。
「セキュリティチームが、ネットワーク上で異常な動きを発見した場合、マーケティングチームに知らせ、これは異常な動作か、プロモーションが成功しているからなのかを確認しなければならない」と彼女は続ける。
ベストプラクティスの推奨事項
Netaceaは、潜在的な問題を特定するために、ボットがマーケティング分析に影響を与えている可能性がある場合に問うべき質問をレポートに記載している。
サイトへの新規セッションは急増しているか
異常なほど多くの新規セッションがあるのに、直帰率が高くセッション滞在時間が短い場合は、自動化されたトラフィック活動の指標となる。
平均セッション滞在時間は3秒未満か
短時間のセッション滞在が繰り返される場合、ウェブサイトの速度が原因ではなく、クローラが画像やコンテンツをスクレイピングしているからかもしれない。
平均直帰率は高いか
サイト全体もしくは一部のページで直帰率が95~100%と高い場合は、ボットトラフィックが存在する可能性がある。
コンバージョン率は低下しているか
コンバージョンが増加しないのに新規セッションが急増すると、全体のコンバージョン率が下がる。
直接のトラフィックや口コミアクセスは増加したか
これら2つのチャネルはボットトラフィックの一般的な発生源で、トラフィックが最も急増する部分である。
※当記事は米国メディア「E-Commerce Times」の12/7公開の記事を翻訳・補足したものです。
