autoscale: true
- すずけん https://github.com/suzuken @suzu_v
- SSP http://fluct.jp でソフトウェアエンジニアをしています。Gopherです。
- http2studyは初参加です、おじゃまします
- ディスプレイ広告配信の仕組み
- SSL対応広告配信と現状
- Malvertising
発表中の質問もお気軽にどうぞ!
- たくさんの媒体に広告を配信する仕組み
- 様々なプレイヤーをHTTP(S)でつなげて広告をやり取りする
- 必ずしも自分のシステムに入稿されたadが出るわけではない(ネットワーク化されているので、他の広告配信システムからのadが出る)
original: http://www.slideshare.net/shoho/ss-36728773
できます
- 場合によっては5,6段
- 外の業者のものは基本的に別ドメインのiframe
- iframeの中に複数JavaScript + HTML + imgタグ
- httpでの広告配信の例
- SSL対応広告配信の例
Webブラウザで見るメディアを想定します
- DFP, タグマネージャーなどのツール経由
- 自社広告サーバ経由
- JavaScriptタグ or iframeタグ直貼り
- 対象となる媒体もしくは枠の配信設定で、SSL対応しているDSP, ADNWを選択する
- bid requestもしくは広告リクエスト時に媒体がHTTPSでserveされていることを伝える
- SSL対応のクリエイティブが出る
SSPから見るとちゃんとSSL対応のクリエイティブが出るかどうかはDSP, ADNWに委ねられます。
広告オークションのプロトコルを決めたもの。
2.2 (2014/04) 以降: secure属性が追加。媒体側がHTTPSの場合に明示的にクリエイティブがHTTPS URLであることを要求できるように。
Flag to indicate whether the impression requires secure HTTPS URL creative assets and markup.
from: Real-Time Bidding (RTB) Project
- 国内DSPについても徐々にSSL対応がされてきているので、利用可能なDSPも増えてきています
- スマホ向けの場合はiOSのATSがあり、SSL対応必須
- 第三者配信サーバでHTTP限定で配信設定されているものについてはそちらを変更する必要があります
- 広告枠ごとにSSL利用するかしないか、というのを変更する必要があるかもしれません
- 例: ログイン後のページはすべてSSL対応の広告しか出さないようにする
- ちなみに弊社のSSPでは新規タグは全てSSL配信対応の広告タグを配っています
mixed contentのblockはユーザの選択として妥当
- SSL対応のadが正しく配信されれば問題ない
- しかし、exchangeやSSPが最終的にadをサーブするシステムがSSL対応か否かを知る方法はない
- 実際にmixed contentによりadがblockされる事例も過去にあった
- 該当するDSP / Ad Exchangeからの広告配信を完全に停止するなどの対応をした
- SSL対応はユーザとメディアの要求。広告事業者はこれに応える必要があります。
- SSL対応の広告を出すことは技術的にもちろん可能。
- SSL対応の広告事業者が増えなければメディア側の選択肢が減る。
- 対応する広告配信事業者が増えないといけない
[fit] original: http://www.anti-malvertising.com/
- 2015年9月 不正広告が約3,000 の国内大手サイトを汚染、50万ユーザに影響 | トレンドマイクロ セキュリティブログ
- 表示しただけでファイルがダウンロードされてしまう
- 攻撃者が不正な広告を海外の広告配信業者に入稿、広告が表示された段階で攻撃者のサーバにアクセスさせる
- ブラウザやFlash Playerなどの脆弱性を利用してexploit kitをインストールさせる
全ての媒体、もしくはsupply-sideのPublisherはマルウェア作者の標的になる可能性がある。
- 広告主を見定めること
- LPのドメインは信頼できるものか?新しすぎないか?国外の広告か?同一IPに複数広告主のadがサーブされていないか?
- 全てのクリエイティブに継続的な注意を払うこと
- 広告審査で予防する
- 配信される広告は妥当な内容か?: バナーの内容とLP(Landing Page)が乖離したものではないか。
- 信頼できる広告主か?
- 入稿されるクリエイティブのドメイン / 広告主を制限する
第三者の広告配信システムから不正な広告が流れる場合、これを自動的に排除する仕組みが求められている。ではAdBlockか?
ユーザの行動は常に合理的
- 「広告をブロックすればウイルスには感染しない」とならないように
- 収益に負の影響がある / 広告を信頼してもらうための取り組みをしなければならない。
- ユーザを危険にさらさないような工夫を。Malvertisingは広告事業者が取り組むべき課題。
- AdBlockされているから仕方ない、ではなくてユーザに信頼してもらえるように広告業界としてものづくりと運用を重ねていく必要がある。
- 2016/01/08 Forbes forces readers to turn off ad blockers, promptly serves malware | ExtremeTech
- adblockを有効にしているユーザについてForbes.comが提供を停止した、しかしマルウェアがサーブされてしまった
- Cyphort | Malvertising Report 2015 によるとMalvertisingでも攻撃者サーバへの誘導にhttpsのリダイレクタが利用されるようになってきている。悪意のあるサイトの特定が難しくなる。
- サイト利用の快適性と収益性の兼ね合い
- Adが収益の大部分をしめる媒体だとAdblockしているユーザが増えると受け入れがたい
- SSL対応広告配信はできます
広告事業者として
- ユーザ、媒体に安全に広告を利用してもらえるように適切な方法で広告をサーブすることが引き続き求められている
- ユーザの広告への信頼を保ち、収益性を担保しつつ、時流に即した広告配信をしていく必要がある
slide: https://speakerdeck.com/suzuken/deisupureiguang-gao-falseji-chu-tosekiyuritei