今年8月、大手プレイガイド、イープラスのチケット購入サイト「e＋」への一般先着チケット購入アクセスの9割がbotによるものだった、というニュースがさまざまなメディアで報じられた。あれから4カ月、イープラスのbot対策はさらに進み、目に見える効果をあげている。

そこで「迷惑bot事件簿」第4回は、イープラスのチケットbot対策の取り組みを、一連の報道後も含めて振り返り、対策の効果をレポートする。

また、ようやく日本でもスポーツイベントや音楽コンサートなどの興行チケットの転売を規制する法律が成立した。規制法の趣旨を読み解きつつ、興行チケットの不正転売防止におけるbot対策の今後の在り方についても触れてみたい。

著者紹介：中西一博 1992年、日立情報ネットワークにシステムエンジニアとして入社。日立グループを統合するネットワークで各種のインターネットセキュリティサービス、モバイルアクセスサービスなどを開発し、当時黎明期にあった企業のサイバーセキュリティ運用のひな型を築いた。その後2000年にシスコシステムズに入社。セキュリティスペシャリストとしてシステムエンジニア、プロダクトマネジャー、マーケティングを担当し、新技術を元IT部門の視点を生かして分かりやすく解説するソリューション提案でネットワークセキュリティの業界を15年間にわたりリードした。2015年1月からはアカマイ・テクノロジーズ合同会社でプロダクト・ マーケティング・マネジャーとして、同社のクラウドセキュリティソリューションを担当。TVニュースや記事、セミナーなどで最新のサイバー攻撃動向などを解説している。

「効果が徐々に薄れた」 一筋縄ではいかないbot対策

まずイープラスがとった、転売を目的にチケットを買い占めるbotへの対策の経緯について簡単に振り返ってみよう。

最初にイープラスが実施していた対策の1つが、同一の接続元からの単位時間辺りの接続数の閾値を設定し、閾値を超えたアクセスについてトラフィックを制御する施策だ。つまり、botによる高頻度のアクセスを、botかどうかの判定基準にする。

しかし、この対策の効果は徐々に薄れていった。このようなbotのオペレーター（botを操作する人間）は、サイト側で設定した閾値を探る行動をとる。閾値のアタリを付けるとそれを少し下回るアクセスレートを設定したbotを複数用意することで、botネット全体で大量の購買アクセスを行う。後の解析で、ある買い占めbotによるイープラスへのアクセスは、国内480のIPアドレスから800個のログインアカウントを使い一斉に行われていたことが判明した。このような手法は、イープラスに対するチケットbotだけでなく、他業種のサイトへの迷惑botでもよく見られる。

次にイープラスが導入した対策が、連載の第3回でも取り上げた、ゆがんだ難読文字をユーザーに入力させることで、人間かbotを判別する「CAPTCHA」という仕組みだ。しかし現在この仕組みは、人工知能（AI）技術を用いた画像認識によって人間以上の精度で自動解析され、botに突破されてしまう。

そこで、Webサイト上でユーザーに何らかの操作をしてもらうことで、人間かbotかを判断する、CAPTCHAを発展させたbot検知サービスを導入した。しかし、クラウド上で動作していたこのサービスが短時間だがダウンし、チケット販売がその間停止してしまったため、サービスの利用を断念した。商用サービスにクラウドベースの認証システムを組み込む場合は、その信頼性が重要だと痛感した出来事だったという。

継続稼働ができること（可用性）に加え、bot判定処理が集中した場合の高負荷を分散する仕組みや、トラブル時のサポート体制が整備されていることも商用のサービスへの利用では重要になるだろう。

「アクセスの9割超」を占めるbotを検知、さらに“振るい落とす”

最後にたどり着いたのが、「ふるまい検知」と機械学習でbotを検知するアカマイ・テクノロジーズ（アカマイ）のBot Manager Premier（BMP）だった。このシステムでbotを検知したところ、あるチケット発売日の販売サイトへの30分間のアクセス数約50万件のうち9割以上がbotによるものだと判明。これをブロックすることに成功した。中にはそれまでのサーバログ分析などの手法では認知できなかったbotも含まれていたという。

ここまでは8月時点で報道された内容だ。ここからは、その後の対策についても触れていこう。

1|2|3 次のページへ