Facebookでの広告配信を禁じられた胡散臭いインターネット・マーケティング業者たちだが、広告キャンペーンをFacebookで続ける手法を編み出した。Facebookユーザーに手数料を払ってアカウントを「借りる」という方法だ。
こうしたFacebookアカウントのレンタル業は、出入り禁止にならずFacebookの広告システムを不正使用するとともに、実際の広告キャンペーン運営者を隠す手口の1つだ。
アカウントを借りた業者は、Facebookページを作り、すぐに広告配信を始められる。配信した広告がFacebookにブロックされ、借りたアカウントが停止されたところで、業者は借りておいた別のアカウントに切り替え、広告配信をやり直せる。そして、Facebookを含め誰からも、正体を知られることはない。
セキュリティ研究者のジョン・アミリズバニ氏は、こうした手口を「広告ロンダリング」と呼び、「この種のアカウント貸しサービスを利用すると、広告運び屋として利用されてしまう」と話す。業者は、Facebookの規制をすり抜けようと、有料で協力するユーザーを探しているからだ。
セキュリティ企業のNovettaで研究者として活動しているアミリズバニ氏は1月18日、ワシントンD.C.で開催されたセキュリティ関連カンファレンスShmooConに登壇し、広告ロンダリングの概要を解説した。
同氏から情報を得たBuzzFeed Newsはさらに調査を進め、広告配信用にFacebookアカウントを貸してくれれば月500ドル払う、と保証しているウェブサイト、YouTubeのビデオ、ネット掲示板の存在をつかんだ。
広告ロンダリング業者のなかには、登録してくれればノートPCを無料で提供する、と申し出たところもあった。送られてくるPCには、ユーザーのFacebookアカウントで広告配信するためのソフトウェアが、業者の手であらかじめインストールされている。そのソフトは、PCへの侵入やもっと危険な行為を許してしまう恐れもある。
BuzzFeed Newsが見つけたネット掲示板の投稿から、借りたFacebookアカウントをオンライン・カジノや男性向け強化グッズ販売といった詐欺的サービスの広告配信に使うらしいと判明した(Facebookは、政治関連や物議を醸す問題ベースと呼ばれる分野の広告を配信しようとする人には、ほかの広告よりも厳格な規定を適用している。しかし、この対応がかえって背後にいる人物を隠す抜け道を生じさせてしまった)。
アミリズバニ氏の調査によると、数千人もがこの種の不正行為に加担している。「つまり、Facebookアカウントを借りて実行する広告ロンダリングは、相当うまくいっていると見て間違いないだろう」(同氏)
Facebookの広告部門でプロダクト・マネージャーを務めるロブ・レザーン氏は、Facebookは2年ほど前からアカウント貸し行為の存在を認識しており、対策中、とBuzzFeed Newsに話した。
レザーン氏は「こうしたアカウント貸しサービス事案を個別に調査し、関連するアカウントを見つけて停止するという対策に取り組んでいる」とメールで返答してくれた。
「Facebookアカウントを他人に貸すと、貸し主の情報が危険にさらされるだけでは済まない。Facebookの利用規約違反に該当し、アカウント停止の対象になる可能性がある」(レザーン氏)
極めて危険で「恐ろしい発想」
Facebookアカウントを借りると称しているサイトには、fbcash.net、fbdollars.com、fbrenters.com、rentusyourfbook.comなどがある。BuzzFeed Newsは、スペイン語のサイトrentafb.comと、これの英語版サイトfb2cash.comも見つけた。これらサイトは多くの場合、米国ユーザーが1年以上使っていて、広告配信したことのないFacebookアカウントの提供者を募集している。
アカウント貸しに釣られたユーザーは、申し込みフォームに必要事項を記入する。登録が済むと、広告ロンダリング業者の作ったウェブブラウザー用プラグインをインストールするか、ユーザーのPCに対してアクセスを許可するか、どちらかの対応が求められる。これは、ユーザーのプロファイルとFacebook広告用アカウントを連携させる設定に必要だからだ。
業者サイトによっては、リモート技術サポート目的でよく使われる、インストールしたPCへのリモートアクセスを許可するTeamViewerというソフトを利用するところもある。
アミリズバニ氏は、見知らぬ他人にPCへのリモートアクセスを許可するなど、極めて危険な行為で「とんでもない」と力説した。
「侵入用のバックドアを仕掛けたり、ファイルを盗んだり、といったことが、簡単にできてしまう。個人的な写真だけでなく、納税記録や銀行の情報などまで盗まれる可能性がある」(アミリズバニ氏)
アミリズバニ氏はインストールされるソフトのコードとChromeブラウザー用プラグインの動作を調査し、憂慮するほど大量のアクセスがPCに対して実行されることも確認した。
「登録完了後、Facebook広告枠の購入操作を該当アカウントで実行するために、ユーザーはバックドアを設定するよう求められる。この目的でインストールされるChromeプラグインは、Chromeが閉じられてもバックグラウンドで機能し続け、PCの電源が落とされるまで動きを止めない」(アミリズバニ氏)
掲示板サイトRedditに投稿されていた情報によると、さらに危険性の高いアカウント貸しサービスまで存在するという。2015年当時、rentyouraccount.comでは、Facebookアカウントにログインさせてくれたうえで、インターネット接続用ルーターに超小型コンピュータのRaspberry Piを接続してくれる人に報酬を支払っていた。
このRaspberry Piを解析したとする人物は、Facebookでの広告枠購入とボットネットへの接続という動作を確認したそうだ。わずか4カ月前の2018年9月にRedditへ投稿された画像には、ルーターに接続されたRaspberry Piが証拠として写っており、この手口が現在も使われていると分かる。
このようなリスクが存在するにもかかわらず、アカウント貸しサービスのサイトは、詐欺の恐れやセキュリティの危険など存在しないし、Facebookの規則違反でもないと信じさせようとして、あいまいな表現を使っている。
アカウントの貸し手を勧誘してくれたユーザーに対し、褒賞金を出すサイトも多い。こうした制度が存在するので、広告運び屋となったユーザーは自分のアカウントを失っても稼ぎ続けられる。ウェブサイトやYouTube、Twitterなどでアカウント貸しサービスを宣伝する人がいるのには、こうした褒賞プログラムの影響もある。
一部の広告ロンダリング業者は、借りたアカウントのまた貸しや転売をしている。BuzzFeed Newsの取材にSkype通話で応じてくれた「Slickdealsposter」と名乗る業者は、広告売上の5%か日額15ドルを請求すると話した。
ある掲示板の投稿では、別の業者が借りたアカウントを5個3199ドルで売ると書き込んでいる。この業者は、男性向け強化グッズの広告配信を考えている場合はアカウントが停止されやすい、と警告していた。
掲示板の業者は、「リスクの高い広告カテゴリーなので、男性向け強化グッズの広告配信は勧めない」と書いた。そして、借りたアカウントで8カ月も運用し続けられているのは「カジノの広告」とした。
この記事は英語から翻訳・編集しました。翻訳:佐藤信彦 / 編集:BuzzFeed Japan