ITmedia NEWS > セキュリティ >
ニュース
» 2018年12月27日 08時00分 公開

迷惑bot事件簿:チケット購入アクセス「9割がbot」→“殲滅”へ イープラスの激闘を振り返る (2/3)

[中西一博,ITmedia]

 BMPはいくつかの判定条件を組み合わせ、botからのアクセスかどうか「確度」を割り出す。誤検知による一般ユーザーのアクセスへの影響を避けるため、初期導入時にイープラスは、その確度に応じて「botの確度が高いアクセスはアクセス拒否で対応」「確度があまり高くないアクセスにはディレイ(遅延処理)を入れてbotの動きを緩慢にする」といった段階的な対応を取っていた。

 BMPをしばらく運用した後、初期の導入設定の甘さを突いたいくつかのbotが検知をすり抜けていることを、イープラスが運用するサーバのアクセスログから確認した。そこで、これらのbotを排除するため、BMP設定のチューニングに取り掛かった。アクセスログとBMPのデータを突き合わせ、検知ポイントの追加や検知ルールの追加を行うなどのチューニングをアカマイの技術担当者と連携して数カ月集中して繰り返し、bot検知の精度を徐々に高めていった。

photo BMPによるbot検知の推移=イープラス提供

 こうした検知の網の目を細かくしていく作業が、最も巧妙なbotを検知するためには欠かせない。検知システムを潜り抜けようとbotも改修を繰り返すが、その特徴をあぶり出して設定をチューニングできる仕組みを持っていることも対策を選ぶ際に重視すべきポイントになる。

photo BMP導入後のチューニング・カスタマイズをPDCAの手法に倣って実施した=イープラス提供

 このような追加対策の結果、検知精度が高まりbot利用者のほとんどは脱落した。最後まで抗っていたbot利用グループもいたが、“振るい分け”がここまで進むとそのグループを徹底的にマークできる。サイトの利用規約に違反する行動をしていたことも分かり、アカウント停止などの運用的措置を取ったことで、このグループからのbotアクセスも止めることができたという。専用のbot対策システムを導入することの真の価値は、ここまでの“振るい分け”の作業を自動化できることかもしれない。

対策の結果は?

 徹底した対策の結果、長年イープラスがマークしていたチケットの申し込み代行サイトから、イープラスが販売している公演チケットの取り扱いをなくすことができた。また、チケット販売の委託元の興行主から、先着発売チケットの転売に関するクレームを受けることもなくなったという。最後にサイトの申し込み画面に残っていたCAPTCHAを取り除き、一般利用者のユーザビリティも上げることができた。

photo e+の申し込み画面からCAPTCHAをなくすことができた=イープラス提供

 bot対策が成功した結果、botのアクセス数は激減し、一般のユーザーがよりアクセスしやすい環境となった。現在の先着販売時は、人間同士でチケットを争奪している状態だという。

 筆者も、ある人気アーティストのライブツアーの一般先着チケット発売日にe+のサイトで買ってみることにした。販売開始時間の土曜日午前10時少し前にサイトにログイン。開始時間を待ち、お目当てのチケット購入ボタンをクリック、混雑で数秒遷移を待った画面もあったが、すんなり購入できた。その後、チケットが3分ほどで売り切れたという様子はとても“人間臭く”、チケットが人間によって買われているのだろう、ということを一般ユーザーとしても実感できた。

 複数の人気チケットの先着発売日が集中する場合などは混雑もあると思うが、「イープラスで一般先着チケットが買えた!」という周りの声は多くなっているように思う。

チケット転売規制法が成立、bot対策システムへの期待は?

 一方、日本の興行チケットの転売などを規制する「特定興行入場券の不正転売の禁止等による興行入場券の適正な流通の確保に関する法律案」が国会に提出され、今年12月8日未明に可決された。待ち望まれていた法律面での整備が行われることになる。簡単にその中身を見てみよう。

Copyright © ITmedia, Inc. All Rights Reserved.