ITmedia NEWS > セキュリティ >
ニュース
» 2018年12月04日 07時00分 公開

迷惑bot事件簿:“転売ヤー”がbot悪用、ECサイトで限定品買い占め 「アクセスの8割がbot」への対策は? (2/3)

[中西一博,ITmedia]

 ECサイトにとってもう一つの課題がシステム負荷との戦いだ。botによるUXの質の低下(主に「ページ表示が遅い」などの体感)やシステムダウンを防ぐためには、サーバや回線などのシステム増強に過大な投資を強いられる。ある日本の大手ECサイトでは、商品を買い占めるbot、価格・在庫を調べるbotの、非常に高頻度なアクセスに悩まされていた。アカマイの対策システムでそうした状況を可視化したところ、ECサイトへの全アクセス数の約70%をbotが占めていたことが分かった。

 下図は、別のあるオンライン小売サイトで観測されたbotの検知データだ。観測期間中のリクエスト数(アクセス数)の約53%がbotに占められている。注目してほしいのは、botリクエスト数のピーク値だ。そのレートは1時間で268万回に達した。botのリクエストは全体の約86%、人間の6倍以上になる。システム設計上は、このピーク時のリクエストをさばける処理能力が求められる。つまり単純計算で、本来必要なシステム投資の6+1=7倍の費用が必要になり、サイトの運用にとって大きな負担となる。

photo オンライン小売サイトで観測された在庫情報を取得するbotの挙動

 さらに分析の結果、このサイトは3種のbotネットから常にアクセスを受けていることも判明した。上図のBotnet #3で示されるbotネットは、前回の金融業へのbotの話題でも取り上げたロー&スロー(Low&Slow)特性を持つbotだと考えられる(※)。ECサイトにも発見の難しい低頻度のbotアクセスが来ていることが見て取れる。一方でセール開始時にはなりふり構わず高頻度のアクセスが行われる。別の調査では本格的な買い占めの前にbotが調査アクセスをしているというデータも明らかになっており、botを操るオペレーターが常に周到に準備していることがうかがえる。

(※)ロー&スロー(Low&Slow)攻撃……bot端末からのアクセスの頻度を抑え、正常なアクセスに紛れ込ませることでbotを検知しづらくする攻撃手法

在庫を「うまく食わせる」 botへの対策

 これまで多くのECサイトが導入してきたbot対策は、ゆがんだ難読文字を見せ、文字を入力させることでbotか人かを判定する「CAPTCHA」という仕組みだ。しかし、既にイープラスのbot対策のニュースでも報じられたように、もはやbotはCAPTCHAによる判定を簡単に突破する。ネット上で販売されているスニーカーの買い占めbotは、CAPTCHAの突破が宣伝文句になっている。

 最新のAI技術による画像認識を駆使した、クラウド型の自動解読サービスを利用すれば、開発者が簡単に自らのbotに解読処理を組み込むことができる。その利用料金は、画像1000枚当たりわずか0.5〜1.5ドルだ。ある調査によれば、人間の読み取り正解率は71%だが、現在のCAPTCHA解読技術はこれを95%の正解率で突破するという。

 一方、ECサイトにとってCAPTCHA利用の大きなリスクは、「正規の顧客(人間)が回答を間違え、買い物を諦めてしまう(コンバージョン率が落ちる)」ことだ。実際CAPTCHAで何度か読み間違った結果、他のサイトで商品購入した経験があるのは筆者だけではないはずだ。現在、ECサイトなどで導入が進んでいる最新のbot対策ソリューションは、この課題を踏まえ、サイト利用者にCAPTCHAのような手間やストレスを強いることなく、botを検知できるようになっている。これには“ふるまい検知”や機械学習など、最新のbotを上回る高度な仕組みを用いている。

photo 最新のbot対策ソリューションが備えるbot検知の仕組み

Copyright © ITmedia, Inc. All Rights Reserved.