AppleのiCloudプライベートリレーはオンライン広告主に問題を引き起こしていると言われており、積極的に利用されている脆弱性により、2022年には米国企業が6,500万ドル以上の損害を被る可能性がある。
Appleは、複雑なインフラストラクチャを用いてユーザーの追跡を隠蔽し、インターネット上でユーザーのプライバシーを保護する手段としてiCloudプライベートリレーを位置付けています。しかし、このシステムは一部のオンライン広告主にとって頭痛の種となる可能性があり、潜在的な詐欺行為によって収益を失っている可能性があります。
Pixalateの広告詐欺およびコンプライアンス調査チームは、iCloudプライベートリレーが使用するIPアドレスに関連する潜在的な脆弱性がシステムに存在すると主張しています。「iP64」と呼ばれるこの脆弱性は、広告詐欺師が広告業界のiCloudプライベートリレーへの信頼やその他の要因を悪用して、広告詐欺を逃れようとしていると考えられています。
広告主にとっての予期せぬ問題
広告詐欺とは、インプレッション数を増やすためにコンプライアンス違反の方法で広告を表示したり、インプレッション数やクリック数を偽装したりするなど、不正な方法で広告を配信する手法を指します。これにより、詐欺師は合法的に広告を表示していないにもかかわらず、広告を「表示」することで収益を得ることができます。
Pixalateによると、iCloudプライベートリレートラフィックは詐欺から安全であるというAppleの主張は、詐欺師が頼りにしているものだという。「IPアドレスを用いて詐欺防止や不正利用防止策を実施しているウェブサイトは、プライベートリレー経由の接続がAppleによってアカウントレベルとデバイスレベルで検証されていると信頼できる」ため、広告主はICPRのIPアドレスを「許可リスト」に追加している。
第二に、プログラマティック広告は入札が複数の「ホップ」を経由する複雑なサプライチェーンを採用しています。多くの仲介業者が関与するため、広告サプライチェーンに関与する企業はデバイスに直接アクセスして「申告された」IPアドレスを検証することができず、信頼性に基づいて作業を行うことになります。
詐欺師は、データセンターを偽装するなどの手法を用いて、Appleが公開したiCPRのIPアドレスを広告リクエストに挿入します。その結果、広告配信企業はiCPRのIPアドレスを見て「リクエストを盲目的に信じてしまう」とPixalateは述べています。
クリック詐欺のレベルは高い可能性があり、Safari トラフィックの 21% が iCPR 経由であると主張しているものの、そのトラフィックの 90% 以上は偽装されていると思われると Pixalate は考えています。
![iCPR を通じた Safari トラフィックの増加に対する iP64 インスタンスの増加率 [Pixalate]](https://image.tslro.com/imggkole/e6/98/51505-101971-ip64-growth-pixalate-xl.webp)
iCPR を通じた Safari トラフィックの増加に対する iP64 インスタンスの増加率 [Pixalate]
Pixalateが提供した例では、エンドユーザーのIPアドレスがiCPRアドレスであると宣言されていましたが、実際にはT-MobileやAmazon AWSデータセンターから提供されたものでした。一部のバージョンでは、iCPRトラフィックとされるものがFirefoxブラウザから送信されていましたが、iCPRはSafariでのみ利用可能であるため、日常的な使用では不可能です。
広告業界がこのような不正行為をいかに軽減できるかについて、研究者らは、広告技術企業は広告サプライチェーンをより深く理解し、情報源を分析し、広告販売者と協力して不正なトラフィックを削減する必要があると考えている。
修正により付随的な損害が発生する可能性がある
ただし、近い将来の提案では、iCPR からのトラフィック ソースを明示的に信頼しないように、iCPR IP アドレスを「ブロック リスト」に追加する予定です。
「このアプローチは、真の iCPR ユーザーをブロックする結果になる可能性があるが、実際の導入数は十分に低いと思われるため、短期的には、ほとんどの企業では (IVT の削減以外に) 重大な影響は見られないだろう」と Pixalate は述べている。
![Amazon、新型Echo DotとTapポータブルスピーカーでAlexaのラインアップを拡大 [u]](https://image.tslro.com/imggkole/60/af/roger_fingas.webp)
