Akamai Diversity

Akamai Japan ブログ

イープラスがチケット買い占めボットを撃退!導入事例と読み解きポイント

会員数1100万人を超える業界最大級のチケット販売サイト「e+(イープラス)」を運営するイープラスは、以前からチケット転売目的の買い占めと疑われるボット(自動実行プログラム)の高頻度のアクセスに悩まれ、これまでも様々な対策に取り組まれてきましたが、CAPTCHA(難読文字によるボット判定)を突破するなど高度になったボットを上回る、最新の対策を求めていました。

そこで「ふるまい検知」と「機械学習」を駆使する、Akamai Bot Manager Premier (以下BMP)を導入し、直後の先着チケット販売開始後、30分間の分析を試みたところ、全アクセスの9割超がボットによるアクセスと判明。これをブロックすることで、悪質なボットによるアクセスをブロックし、転売目的のチケット買占め問題が改善しました。

イープラスはどのような経緯でBot Manager Premier を導入し、どのような効果を得たのか?また、導入後どのような点を高く評価したのか?

詳しくご覧頂ける、事例をPDFとビデオでご用意しました。いますぐダウンロードしてご確認ください。

また、本ブログではこの事例を読み解くいくつかのポイントについて解説します。


イープラスのBMP導入事例のダウンロードはこちらから → PDFビデオ

eplus3.png

本事例で明らかになった、イープラスのサイトでのある先着チケット発売日のアクセス分析でボットのアクセスが9割を占めていたことから、IT系の報道だけではなく、一般のニュースでも取り上げられました。

その導入経緯と導入後の効果など、詳しくは、事例のPDFと、ビデオでぜひご確認ください。


このブログでは、一連の報道に接した一般の方々のコメントなどで見られたいくつかの疑問について、一問一答形式で触れていきたいと思います。(多くは、本事例に特化した回答ではなく、一般解としてお答えします。)

Q1: 本来ボットを見分けるためのしくみ、CAPTCHAはボットの自動処理で突破されてしまうのか?

A1: ディープラーニングなどのAI技術を応用した画像認識の進化は目覚ましいものがあります。ある検証において、CAPTCHAの生成する難読文字の解析による正答率は95%程度とされ、人間の71%を大きく上回る精度で回答可能という結果が出ています。これらの技術を利用した解読サービスは、インターネット上で多数存在し、簡単に検索/利用することができます。また、コストも非常に安価で、解析する画像1,000個あたり、$0.5~1.5程度で提供されています。サービス提供者が用意しているAPIを任意のプログラムから呼び出すことで、簡易にボットに組み込むことも可能なのです。ボットを利用する悪意を持った人物や組織は、これらの解読技術/サービスを利用しているケースが多いため、CAPTCHAによるボット対策の効果は限定的となります。CAPTCHAは、ユーザービリティを犠牲にすることを前提として導入されるため、効果が限定的では、非常に困った状況と言えます。

Q2: アクセスの9割がボットだったとは、どんな意味か?

A2: 観測対象時間に、サイトのチケット先行販売ページに対するウェブアクセス総数のうち9割がボットからのアクセスと観測された、ということです。これは、結果として販売していたチケット10枚のうち9枚がボットに買われたという意味ではありません。しかし、このような買い占めを意図するボットは、一般的に人間を大きく上回る速度で繰り返しアクセスしますので、正規のユーザのアクセスを疎外し、商品入手の機会を喪失させたり、アクセスが集中するウェブサーバーやデータベースに不要な負荷を与え、数々の問題を引き起こします。

Q3. ボットが利用しているソースIPからのアクセスをファイアウォールでブロックすれば防げないのか?

A3: このようなボットは、IPアクセス制御を想定して、あらかじめ複数のIP上で動作するよう設計、運用されています。例えばサーバーの購買ログ分析で、ボットと分かったクラウドA上に存在するIPアドレスからのアクセスをファイアウォールでブロックしても、ブロックされたことを認識したボットは、クラウドB上のボットを自動で稼働させて、意図するアクセスを続けます。このような状況はまさに「いたちごっこ」です。これに対応するため、1アクセスごとに、そのアクセスがボットによるアクセスか、ソースIPアドレスによらず見分けるためのしくみが、アカマイのBMPには実装されています。

Q4. 他のサイトでもボットが買い占めをしているのではないか?

A4. 分析をしないと何とも言えません。しかし、一般的には、高額転売ができる限定商品や、座席、チケットのほか、不正送金を意図した金融サービスへのアクセスや、現金化を意図したメンバーズポイントの操作などで、不正ログインボットが頻繁に悪用されています。米連邦裁判所が取り扱った事件では、犯罪者がボットを使ってCAPTCHAを突破し、フットボールのゲームや有名アーティストのコンサートなど、複数のイベントのチケットを150万枚以上購入し、2,890万ドルの利益を得たとみられています。

Q5. 結局は技術のいたちごっこでは?

A5. サイバー攻撃対策でも同じことがよく言われますが、だからといって全く対策をしないという選択肢は、社会的、及びリスク管理の観点において通用しません。常に最新技術を反映したサイバーセキュリティ対策が求められているのはご存知のとおりです。ボット対策にも同じことが言えます。アカマイは世界中のウェブサイトが受けているボットの動向をとらえて、今後も検知エンジンの精度を高めるとともに、お客様ごとのチューニングを実施することで、カスタマイズされたボットを検知する継続的なサポートを用意しています。


イープラスのBMP導入事例のダウンロードはこちらから → PDFビデオ

Leave a comment