「アフィリエイト経由の売上が立っているのに、リピート率が異常に低い」「同じアフィリエイターからの注文に同じIPアドレスが並んでいる」──自社アフィリエイトを運用していると、不正の疑いがある成果がほぼ必ず混ざってきます。不正を放置すると、報酬の二重支払いだけでなく、健全なアフィリエイターのモチベーションも削がれます。
この記事では、アフィリエイト施策でよく発生する不正手口を4パターンに分類し、ツール側で実装されている検知ロジック3種類、ツール選定で見るべき機能までを実務目線で整理します。
結論サマリー
- アフィリエイト不正の典型は 「自演(自己購入)」「ボット・不正クリック」「クッキースタッフィング」「同一IP連続購入」 の4パターン
- 検知ロジックは 「IP・デバイスフィンガープリント」「行動パターン分析」「自社注文との突合」 の3つに集約される
- ツール選定では 検知ルールのカスタマイズ可否 と 疑わしい成果の保留機能 の2点を必ず確認する
- 完全自動化は難しい領域。運用者の目視レビューと、ツールの検知アラートを組み合わせる前提で設計する
アフィリエイト不正の典型パターン
アフィリエイト施策で発生する不正は、手口の特性で4パターンに分けて理解すると整理しやすくなります。
| パターン | 主な実行者 | 検知の難易度 | 損害の大きさ |
|---|---|---|---|
| ① 自演(自己購入) | アフィリエイター本人・関係者 | 中 | 中 |
| ② ボット・不正クリック | 外部の悪意ある第三者 | 高 | 大 |
| ③ クッキースタッフィング | スパムサイト運営者 | 高 | 大 |
| ④ 同一IPからの連続購入 | アフィリエイター本人・関係者 | 低 | 中 |
それぞれの手口と、検知の着眼点を順に見ていきます。
パターン①: 自演(自分でクーポンを使う)
最も発生頻度が高い不正は、アフィリエイター本人または関係者が自分の紹介リンク経由で商品を購入する手口です。クーポンコード型のアフィリエイト(インフルエンサー向け)で特に起こりやすく、家族・友人名義での購入も含まれます。
実害は2つあります。
- 報酬の二重取り: 商品代金が割引される(クーポン)うえに、自分に紹介報酬が入る
- 他の正規アフィリエイターの機会損失: 自演成果が増えるほど、正規アフィリエイターへの予算配分が圧迫される
クーポン型でなくリンク型でも、自分の紹介リンクを家族端末からクリック → 購入というシナリオで発生します。完全な禁止は技術的に困難で、ガイドライン明文化と検知ロジックの両輪で抑止するのが現実的です。
パターン②: ボット・不正クリック
機械的にリンクを大量クリックする手口です。クリック報酬型のアフィリエイト(少数)や、CV報酬型でも「クリックスタンプを発生させてアトリビューションを横取りする」目的で発生します。
ボット側の典型挙動は以下です。
- 短時間に大量クリックを発生させる
- 異なるUser-Agentを偽装するが、リファラーが空欄か固定パターン
- スクロール・マウスの動きが一切ない(ヘッドレスブラウザ)
- 同一IPから時間間隔が完全に等しい連続アクセス
直近のボット手口は人間の挙動を模倣するように進化しており、単純なUser-Agentブロックだけでは検知できません。後述する行動パターン分析と組み合わせる必要があります。
クリックスタッフィングと組み合わさると、後から購入が発生したときに「ボット経由のクリックが最新Cookieとして残っていて、本来別のチャネルで購入された成果が横取りされる」事態も起こります。
パターン③: クッキースタッフィング
不正サイト・スパムサイトでよく使われる手口で、ユーザーが知らないうちにアフィリエイトCookieを書き込ませる手法です。具体的には以下のような実装で発生します。
- 画像タグやiframeに偽装してアフィリエイトリンクを読み込ませる
- ページ表示時に自動でアフィリエイトリンクへのリダイレクトを発生させる
- ポップアップ広告のクリックを実質的なアフィリエイトリンククリックにすり替える
ユーザーは自社サイトでもアフィリエイト紹介サイトでもなく、まったく無関係なスパムサイトを閲覧していただけで、ストアに到達した時には既にアフィリエイトCookieが書き込まれている、というシナリオです。
クッキースタッフィングは特に ASP経由のアフィリエイトで頻発しがちで、自社アフィリエイトでも完全には防げません。ツール側の検知ロジックと、後述する不審アフィリエイターの排除運用で抑制します。
パターン④: 同一IPからの連続購入
複数アカウントを使って自分の紹介リンクから連続購入するパターンです。Amazonギフト券や独自クーポンと組み合わせて、実質割引価格で商品を入手しつつ報酬を得る、という手口になります。
挙動の特徴は明確です。
- 同一IPアドレスから複数の購入アカウントが発生
- 配送先住所が同一または近接
- 支払い方法が同じカード番号・同じ電話番号
- 購入間隔が極端に短い(数分から数時間以内)
検知難易度は4パターンの中で最も低く、IPと注文情報の突合だけでほぼ検出できます。ただし、家族で同じ商品を購入したケースなど正規パターンとの誤検知が起こりやすいため、検知後は人手でレビューする運用が必須です。
検知ロジック①: IP・デバイスフィンガープリント
最初の検知ロジックは、訪問者のIPアドレスとブラウザ環境(デバイスフィンガープリント)を組み合わせて、同一人物の繰り返しアクセスを判別する仕組みです。
デバイスフィンガープリントとは、ブラウザのバージョン・画面解像度・フォント情報・タイムゾーンなど、複数の属性を組み合わせて生成される識別子です。IPアドレスだけだと「同一の自宅ネットワークから家族が別端末で購入」と「同一人物が複数アカウントで購入」を区別できませんが、デバイスフィンガープリントを併用すると区別が可能になります。
このロジックで検知できる不正は以下です。
- パターン①の自演: アフィリエイター端末のフィンガープリントと購入者端末のフィンガープリントが一致
- パターン④の同一IP連続購入: 同一IPから複数の異なるフィンガープリントで連続購入(誤検知含む)
- パターン②のボット: フィンガープリントの欠落・偽装パターン
実装上は、アフィリエイトリンククリック時とチェックアウト完了時の両方でフィンガープリントを取得し、データベースで突合する形になります。UpPromote や Affitch は基本機能でIP照合まで、AffiliSaaS は デバイスフィンガープリント + 多次元IP突合(同一プロバイダ・同一AS番号レベル) まで実装しています。
検知ロジック②: 行動パターン分析
2つ目は、訪問者の行動が「人間らしいか」を時系列で評価するロジックです。マウスの動き・スクロール量・ページ滞在時間・遷移パターンなどの行動データを蓄積し、ボットや自演に特有のパターンを検出します。
検知の着眼点は以下です。
- ページ滞在時間が極端に短い(読まずに即購入)
- マウスの動きが一切ない、または直線的すぎる
- スクロールせずに最下部のCVボタンに直接到達
- 同一アフィリエイターからの紹介で、似た行動パターンの訪問者が集中
このロジックは パターン②のボット検知で特に効果が高く、ボットがいくらUser-Agentを偽装しても、行動データを再現するのは難易度が高いため検出されやすくなります。
実装はツール側で完結することが多く、運用者は管理画面で「行動スコアが低い成果」を確認する形になります。AffiliSaaS は 行動スコア閾値での自動保留を設定でき、低スコア成果は手動承認待ちにする運用が可能です。
検知ロジック③: 自社注文との突合
3つ目は、ストア側の注文データとアフィリエイト成果データを突合するロジックです。Shopify ストアであれば Order API 経由で取得した注文情報と、アフィリエイトツール側の成果データを照合します。
突合で検知できる項目は以下です。
| 突合項目 | 検知できる不正パターン |
|---|---|
| 配送先住所 | パターン④(同一住所への連続購入) |
| 支払い方法(カード番号末尾) | パターン①・④(同一カードでの繰り返し購入) |
| 電話番号・メールアドレス | パターン①(アフィリエイター本人の情報と一致) |
| 注文時刻の集中 | パターン②(ボット起因の購入集中) |
特に有効なのは 配送先住所と支払い方法の組み合わせで、同一住所×同一カードの注文がアフィリエイト成果として連続発生しているケースは、自演または同一IP連続購入の典型パターンです。
Shopify Fraud Analysis は注文単位の不正リスクスコアを提供しており、これと突合することで「リスクスコアが高い注文がアフィリエイト成果として計上されている」ケースを抽出できます。AffiliSaaS は Shopify Fraud Analysis のリスクスコアとアフィリエイト成果を自動突合し、リスク高の成果は保留対象に振り分けるロジックを実装しています。
アフィリエイトROIの計算方法 で扱った「アフィリエイト経由顧客のLTV12」が異常に低いケース、アフィリエイトの二重計上を防ぐ方法 で扱った重複計上の検知も、同じ突合ロジックの応用で対応できます。
ツール選定で見るべき機能
不正検知の観点で、自社アフィリエイトアプリを選ぶときに確認すべき機能は以下の5項目です。
| 確認ポイント | 何を見るか | 重要度 |
|---|---|---|
| 検知ルールのカスタマイズ可否 | 同一IP閾値・滞在時間閾値などを自社運用に合わせて設定できるか | ★★★ |
| 疑わしい成果の保留機能 | 検知ヒット時に成果を自動保留して手動承認待ちにできるか | ★★★ |
| アフィリエイター単位の信頼スコア | 過去の不正検知履歴に応じて信頼度を自動評価できるか | ★★ |
| Shopify Fraud Analysis 連携 | Shopify 標準の注文リスクスコアと突合できるか | ★★ |
| デバイスフィンガープリント実装 | IP単独でなく端末識別子レベルで照合できるか | ★★ |
無料プラン・低価格プランのアプリでは検知ルールのカスタマイズや保留機能が制限されているケースが多く、不正検知を本格運用するならミドルレンジ以上のプラン選定が必要になります。
Shopifyアフィリエイトアプリの比較 では、アプリごとの不正検知機能の有無を一覧で整理しています。設定済みのアフィリエイトで成果は出ているがどれが正規でどれが不正か判別できないケースは、Shopifyアフィリエイトが計測されない時のチェックポイント と合わせて読むと、計測精度と検知精度の両面から判断材料が揃います。
また Cookie の上書きや帰属ロジックを理解した上で不正検知設計に進む必要があるため、アフィリエイトのクッキー期間と帰属の仕組み も併読を推奨します。
まとめ
- アフィリエイト不正の典型は 「自演」「ボット・不正クリック」「クッキースタッフィング」「同一IP連続購入」 の4パターン
- 検知ロジックは 「IP・デバイスフィンガープリント」「行動パターン分析」「自社注文との突合」 の3軸で組み合わせる
- 同一IP連続購入は検知難易度が低い一方、家族購入など正規パターンとの誤検知が起きやすい。最終判断は人手レビューが前提
- クッキースタッフィング・ボット系は外部の悪意ある第三者起因で、自社アフィリエイトでも完全には防げない。ツールの検知アラート + 不審アフィリエイターの定期排除でリスクを抑える
- ツール選定では 検知ルールのカスタマイズ可否 と 保留機能 が決定要因。本格運用ならミドルレンジ以上のプラン
不正検知は「完璧な防御」を目指すよりも、許容できる不正率の中で運用コストを最小化する設計 が現実的です。アフィリエイター単位での信頼スコア運用と、月次の検知レビュー会のサイクルを最初から組み込んでおくと、長期的な健全性が保てます。
