ITmedia NEWS > セキュリティ >
ニュース
» 2019年11月01日 07時00分 公開

迷惑bot事件簿(特別編):イープラスに聞く、悪徳転売業者を駆逐するまで チケット購入アクセスの「9割占めた」botを徹底排除 (1/4)

botを駆使してチケットを買い占める高額転売業者にイープラスがどのように立ち向かったのか。「迷惑bot事件簿」(特別編)では、イープラスの小西雅春氏にインタビューし、当時の戦いを振り返る。

[中西一博,ITmedia]

連載:迷惑bot事件簿

さまざまなタスクを自動化でき、しかも人間より早く処理できるbot。企業にとって良性のbotが活躍する一方、チケットを買い占めるbot、アカウントを不正に乗っ取るbot、アンケートフォームを“荒らす”botなど悪性のbotの被害も相次いでいる。社会や企業、利用者にさまざまな影響を及ぼすbotによる、決して笑い事では済まない迷惑行為の実態を、業界別の事例と対策で解説する。著者は、セキュリティベンダーの“中の人”として、日々、国内外のbotの動向を追っているアカマイ・テクノロジーズの中西一博氏。

 大手チケット販売会社、イープラスのサイト「eplus.jp」への一般先着チケット購入アクセスの9割以上がbotによるものだった──その後、導入したbot検知システム「Bot Manager Premier」(BMP)のチューニングを繰り返すことで網の目を細かくして、botのアクセスを遮断し、最終的に殲滅(せんめつ)した経緯は、過去の連載記事でも伝えた(関連記事)。

 botを駆使してチケットを買い占める高額転売業者に、イープラスがどのように立ち向かったのか。今回の「迷惑bot事件簿」は特別編として、イープラスの小西雅春氏(システム部 システム運用グループ 統括マネージャー)にインタビューし、当時の戦いを振り返りつつ、対策の決定打となったアカマイ・テクノロジーズ(アカマイ)のBMPの導入から1年がたった「bot対策の今」について語ってもらった(聞き手はアカマイの中西)。

著者紹介:中西一博

1992年、日立情報ネットワークにシステムエンジニアとして入社。日立グループを統合するネットワークで各種のインターネットセキュリティサービス、モバイルアクセスサービスなどを開発し、当時黎明期にあった企業のサイバーセキュリティ運用のひな型を築いた。その後2000年にシスコシステムズに入社。セキュリティスペシャリストとしてシステムエンジニア、プロダクトマネジャー、マーケティングを担当し、新技術を元IT部門の視点を生かして分かりやすく解説するソリューション提案でネットワークセキュリティの業界を15年間にわたりリードした。2015年1月からはアカマイ・テクノロジーズ合同会社でプロダクト・ マーケティング・マネジャーとして、同社のクラウドセキュリティソリューションを担当。TVニュースや記事、セミナーなどで最新のサイバー攻撃動向を解説している。

「何かしら手を打たなければいけない」 積年の課題だった「転売対策」

photo 左からアカマイの中西一博氏とイープラスの小西雅春氏

アカマイ中西 お久しぶりです。この連載の中でイープラスのチケットbot対策の回は、特に大きな反響がありました。そこで今回、さらに突っ込んだ話を直接聞ければと思っています。早速ですが、アカマイのbot検知システムを導入する前、イープラスはどのような状況だったのかあらためて教えていただけますか。

イープラス小西 当時、チケット販売会社はどの会社も同じ課題を抱いていたと思います。定価の何倍、何十倍もの価格でチケットが転売されていることは認識していて、何かしら手を打たなければいけない、というのが積年の課題でした。ただ正直なところ「これだ」という有効な手がありませんでした。

 どう考えても人の手によるものではないアクセスに対し、同じ接続元からのアクセス数が一定の頻度を超えたら、ページ遷移のスピードを遅延させるといった対策は講じていました。ただ、敵もさることながら、そうした対策には、クライアント数(botの数)を増やすなどして応戦してきます。それを実感したのは、2016年ごろです。アカウント登録時とチケット購入時に導入しているSMSによる二段階認証も、その頃に取った不正購入のためのダミーアカウントを乱造させない転売防止策の一つです。

 登録者情報をさらに深く分析することで、異なるアカウントを用いていても、ダミーアカウントの登録者情報には、いくつかの共通点があることが分かってきました。また、同一人物がまとめて登録したと思われるアカウントと、その後のサイトでの行動データを突き合わせて丹念に分析していくと、不自然な挙動が見えるケースもあります。

 こうした試行錯誤を繰り返し、“不正を行うリスクのあるアカウント”を抽出する試みを行っていたのですが、このような作業で不正行為を取り締まるには限界がありました。特に複数アカウントを使って全国にばらまかれたプロキシーサーバを踏み台にしてアクセスするなど、大規模かつ周到に準備した転売業者とみられる不正購買行為には、長い間決定打となる対策が見つけられませんでした。

中西 過去の連載記事で取り上げた、アクセスレート制御や、CAPTCHA(難読文字を入力させbotを判定する仕組み)による対策以外にも、裏側でいろいろ手を尽くされていたんですね。

DoS攻撃でサイトが麻痺、その隙に買い占め……高額転売業者の手口

小西 特に悩まされていた高額転売業者がいました。ひどいケースでは、16年春、あるイベントのチケットを先着販売開始時に、イープラスのサイトに買い占め目的のDoS攻撃を仕掛けられたのです。業者はサイトが麻痺(まひ)している隙に、特殊なアクセスを行うことでチケットを大量に買い占めました。

 そのチケットは、定価の数十倍に相当する30〜40万円の値段で転売されていました。それらのチケットは、購入手続きが終わった直後に、コンビニエンスストアで発券されていることが分かりました。

中西 不正を察知して、チケットを無効化する手を打つ前に、発券までしてしまうわけですね。明らかなサイバー攻撃であるDoSまで使いますか……ひどいですね。

       1|2|3|4 次のページへ

Copyright © ITmedia, Inc. All Rights Reserved.