管理しているネットショップでGoogleのAdWords広告を出稿している。この広告への不正クリックが最近あった。

AdWordsの広告には、検索結果に表示される広告と、ブログなどに貼り付けたAdSenseのコンテンツネットワーク広告の２つがある。今回異常を検出したのは、コンテンツネットワークでのクリック。

図は、このコンテンツネットワークでのクリック率の５月のグラフで、横軸が日付、縦軸は、正規化したクリック率だ。広告が表示される回数（インプレッション）やそれがクリックされる回数は、当然、毎日違うのだが、長期間運用していると、クリック率（＝クリック回数/インプレッション）がある値を中心にほぼ正規分布するようになる。そのため、平均値と標準偏差でクリック率の異常を管理できる。だいたい２～３σのあたりを管理限界にしている。

図は、日々のクリック率を平均値＝０、標準偏差＝１に正規化したグラフだが、12日目のところで異常値（16σ）が出ている。

アクセスログを調べてみると、あるサイト（数サイト）から異常なアクセスがあった。そのサイトを調べてみた。どれも同じ種類の特殊な仕掛けがされたサイトで、不正クリック専用に作ったサイトのようだ。広告は明らかにAdSenseから取って来た広告なのだが、どこにも「Ads by Google」のクレジットは無い。ソースを見てみたが、AdSenseのスクリプトコードは貼り付けてなかった。つまり、Googleからは見えない広告になっている。普通にAdSenseの広告を張るとGoogleから見えてしまい規約違反になるからだろう。

アクセスログを調べると、クリックはある時間帯に集中しているが、クリック元のIPはそれぞれ異なる。そのためGoogleでは、これを不正クリックと判別できないかもしれない。
その他、何やら複雑な仕掛けになっているようだ。解析中。

（図のグラフは、Google Docs & Spreadsheetsで作ったもの。なかなか良く出来ている）

---追記(6/2)---
調査の結果、不正クリックではなかった

ITProに東京エレクトロンデバイスで開催されているセミナーでの米Imperva社のCTO、Amichai Schulman氏による講演「Web 2.0のセキュリティ･リスクと回避法」の紹介記事がある。

この記事全体は、「Ajaxがクロスサイト・スクリプティング（XSS）の温床になりやすい」ということを言いたいのだろうが、その記事中に次のような説明がある。
XSSは，WebサーバーによるWebブラウザに対する信用を悪用するというものだが，反対に，WebブラウザによるWebサーバーに対する信用を悪用するのがCSRF（Cross Site Request Forgery）である。
「Aは、BによるCに対する信用を悪用」を主語を入れ替えて整理すると
「BがCを信用していることを悪用したのが、Aである。」
になる。
つまり、記事では、
XSS=WebサーバーがWebブラウザを信用していることを悪用したもの
であり、また、
CSRF=WebブラウザがWebサーバーを信用していることを悪用したもの
と言っていることになる。

講演でそのような発言があったのか、記者が勘違いしたのかわからないが、それは逆でしょう。