多くのファンを抱える企業の頭を悩ませるのがボットによる転売。この記事では、「ボットによる転売のしくみとは?」「どうすれば防ぐことができるの?」といった疑問に答えます。
ボットとは、一定のタスクを実行するためのソフトウェアプログラムです。大きく分けて、ウェブサイトをスムーズに運用するための「良質なボット」と、個人情報のはく奪や商品の高額転売など、悪用目的に使われる「悪質なボット」があります。
中でも法規制が追い付いておらず、Eコマースにとって大きな痛手になっているのが転売ボットです。「販売開始後、瞬く間に商品が買い占められ、二次市場で法外な価格で売り出されている」というケースは、人気アイテムを取り扱う企業にとって残念ながらよくあることではないでしょうか。こうした事態は、顧客体験を低下させ、企業への信頼度やブランド価値も損ねてしまいます。
そして、悪質なボットは年々進化しています。あるスニーカーの販売では、ハッカーがボット対策ソフトをすり抜けるためにアルゴリズムを研究し、人間のマウス動作に近い動きをするボットを使っていたとの報告も。
また、プロキシやVPNを使って痕跡を隠すボットもいます。これによって、実際は同一のIPアドレスを用いた複数アクセスでも、あたかもそれぞれが別のアドレスからアクセスしているように見せることができるのです。
こうした不正行為に対抗するためには、ボットの種類としくみを理解することが大切です。転売目的で使用される主なボットは、以下のようなものがあります。
スクレイピングボット
ウェブサイトから価格や在庫情報などを自動的に収集するボットをスクレイピングボットと言います。(スクレイプは「かき集める」の意味)
スクレイピングボットは、一般ユーザーには到底かなわないスピードと処理能力で、ウェブサイトの情報を収集します。例えばあるスニーカーの再販の場合、心待ちにしているファンは手動でブラウザを更新し、販売開始まで画面に張り付いていなければいけません。しかし、スクレイピングボットの前ではそうしたファンの努力も水の泡です。一瞬でも画面から目を離すと、ボットに商品を取られてしまいます。
フットプリンティングボット
フットプリンティングボットは、サイバー攻撃に先立ち、標的のウェブサイトやネットワークの弱点などを探るために使われます。ボット悪用者は、フットプリンティングボットを使って事前にシステムの構成や状況をスキャニングすることで、攻撃手法を検討します。また、本番環境であれば、未公開のウェブサイトであっても潜り込むことができます。
あるNikeコラボ商品販売 (Nike SB x Strangelove Skateboards)では、発売日前日にフットプリンティングボットが検出され、オンライン販売が中止になりました。
アカウント作成ボット
ボットが購入を完了するためには、ECサイトのアカウントが必要です。正規の購入方法では、一人当たりの購入数に上限が設けられていることもあるため、ボット悪用者はアカウント作成ボットを使って何千ものアカウントを一気に作成します。
アカウント乗っ取りボット
アカウント作成ボットと並んでよく見られるのが、一般ユーザーのアカウントを乗っ取るボットです。
アカウント乗っ取りボットには主に二つの種類があります。クレデンシャルスタッフィングボットは、不正に入手したログイン情報で対象のサービスへのアクセスを試みます。一方、クレデンシャルクラッキングは、メールアドレスなど一つの値を定め、パスワードを推測しログイン試行します。
スキャルピングボット&エクスペディティングボット
スキャルピングボットは、商品ページに居座り、特定の商品に狙いを定めます。そして目当ての商品が決まったら、エクスペディティングボットが高速で購入手続きを行います。この種類のボットは、速度・量どちらにおいても処理能力が非常に高く、本物のスニーカーファンがメールアドレスを入力する前に、ECサイトの在庫を空にしてしまいます。
在庫拒否ボット
在庫拒否ボットは、商品をカートに追加した後、購入せずにそのまま「保持」します。いったん商品を「売り切れ」状態にすることで、一般のファンが正規ルートで購入するのを妨害するのです。そして、転売先で商品が高額で売れてはじめて、ボットにもとの商品を購入させ、不正に利益を得ます。
キャッシング詐欺ボット
キャッシング詐欺ボットは購入時に使われるボットです。エクスペディティングボットや在庫拒否ボットが保管した商品を購入する前に盗んだカードの有効性を確認したり(カーディング)、有効期限やセキュリティコードを確認したり(カードクラッキング)します。
年々ハイテク化していくボットに対抗するためには、そのしくみを理解した上で、適切な対策をとることが必要です。ボットは様々な方法で攻撃を仕掛けてくるため、状況に応じて戦略をたてましょう。ここでは代表的な対策案をいくつか紹介します。
1. 古いブラウザとデータセンターからのトラフィックに注意する
ボットとユーザーの見分け方の一つとして、ブラウザのバージョンが挙げられます。正規のユーザーは最新の(もしくは比較的新しい)バージョンを使用していることが多いのに比べ、ボットスクリプトは古いバージョンで実行される傾向にあります。
そのため、2年以上前のバージョンにはCAPTCHAを表示し、3年以上前のバージョンにはハードブロックをかけると無難だと言えるでしょう。
|
|
CAPTCHA対象 2年以上前のバージョン |
ハードブロック対象 3年以上前のバージョン |
|
Chrome version |
< 88 |
< 80 |
|
Firefox version |
< 86 |
< 73 |
|
Safari version |
< 14.0.3 |
< 13.0.5 |
|
Edge version |
< 88 |
< 80 |
2023年3月現在。バージョン履歴の確認はこちらから:Chrome、Firefox、Safari、Edge
また、データセンターからのトラフィックはボットである可能性が非常に高く、悪質なボットの70%はデータセンターから発信されているとの報告もあります。
ボット悪用者は、データセンター内のサーバースペースを購入し、何百というIPアドレスをいとも簡単に入手します。特に、Digital Oceans、GigeNET、OVH Hosting、Choopa, LLCデータセンターから大量にアクセスがあった場合、ソフトブロック(CAPTCHA表示)またはハードブロック(アクセス拒否)を検討することをお勧めします。
このように、古いブラウザとデータセンター経由のトラフィックに注意し、ボットの疑いのあるトラフィックを事前に排除することで、低レベル~中レベルのボットは排除することができます。
2. トラフィックをモニタリングする
ボット対策で次に重要なのが、トラフィックをモニタリングし、ボットを特定することです。
ボット対策ツールは、マウスの動き、リクエストの頻度、ページ上の時間などの行動指標を分析し、疑わしいトラフィックを特定します。(たとえば、マウスを動かさずに複数のページを訪問したユーザーがいた場合、ボットである疑いが高いと判断できます。)
疑わしいトラフィックが特定できたら、デジタルフィンガープリンティングという技術を使って、ブラウザの種類、IPアドレス、クッキー情報、ブラウザの拡張機能などを調べて警告フラグつきのユーザープロファイルを作成します。
ボットはECサイトのAPIに直接侵入し、高速で商品にアクセスします。そのため、これに対抗するには、ウェブサイト、モバイルアプリ、APIなど、全てのエントリーポイントを監視できるボット対策ツールが必要です。
また、機械学習によって特定のウェブアプリケーションのセキュリティを常に更新する優れたボット対策ツールもあります。ボットを使った不正行為の手法がますます高度化する中、こうしたツールを積極的に取り入れることで、進化する脅威に対抗することができます。
3. ボットと思われるトラフィックを阻止する
ボットの可能性があるトラフィックを検出したら、次は適切な対処をしましょう。疑いのあるトラフィックにはGoogleのCAPTCHAやPerimeterXのHuman Challengeなどのソフトブロックを、ボットであることが確認できたトラフィックは完全にブロック、レート制限をかけるなどして、ボットの侵入を防ぎましょう。また、ブロックしたボットの情報を記録することで、今後の攻撃を阻止できる可能性が高まります。
4. トラフィック管理ツールでボットをフィルタリングする
空港でセキュリティゲートを通過してはじめて搭乗できるのと同じように、仮想待合室はウェブページと購入経路の間のチェックポイントのような機能を果たします。つまり、ユーザーが商品を購入する前に本人確認を行うことで、ユーザーとボットを見分け、ボットであった場合その侵入を防ぐことができるのです。
また、仮想待合室は、ボットによる商品購入を防止するだけではなく、販売のプロセスを公平にし、より良い顧客体験を提供することができます。
販売開始時間より早くアクセスした人は以下のようなカウントダウンページに案内されます。
販売が始まると同時に、カウントダウンページにいた人には抽選によりランダムに番号が割り振られます。
販売開始後にアクセスした人は、その後に続いて先着順に番号が与えられ、順番にサイトへ案内されます。こうしたしくみによって、不正行為のない、公平で快適な販売を実現することができます。
5. 販売後の点検を慎重に行う
どんなに厳重にボット対策をうったとしても、ボットの侵入を完全に防ぐことは困難です。しかしボットに商品を購入されてしまったからといってそれで終わりではありません。今後の販売をボットから守るためには、以下のような点に気を付けながら、出荷前に点検を行うことが重要です。
- 同じ住所から複数の注文が行われていないか
- 同じIPアドレスから複数の注文が行われていないか
- あるクレジットカードが別の顧客の注文でも使われていないか
- SNS上でボットを使ったサイト操作をほのめかす発言はないか
ボットによる注文が特定できた場合、注文のキャンセルや、購入者のアカウント停止を検討しましょう。また、今後の被害を防ぐためにIPアドレスやクレジットカード情報を控えておくことも重要です。
長年転売に悩まされていたNikeは販売後の点検を行った結果をうけて、ボット対策の強化に乗り出しました。返品手数料を設けること、払い戻しを拒否すること、転売目的である購入が確認された場合アカウントを凍結することなどを新たに利用規約に盛り込み、転売防止に向けた対策を強固に打ち出しています。
最先端のボットオペレーターは、居住地プロキシを使用してIPアドレスを隠したり、配送先住所に手を加えるなど(アドレスジギング)、あらゆる手を尽くしてボット防止策をすり抜けようとします。しかし、慎重に購入履歴を確認することで、不正行為を特定できる可能性が高まります。
近年、フリマ大手のメルカリが特定の商品を対象に転売対策を強化したり、家電量販店が相次いで転売防止目的の購入条件を設定したりと、企業レベルでの取り組みが報道されるようになりました。しかし、法規制が整っていないこともあり、転売行為がとどまる様子はありません。
そのような中で、「本当に商品が欲しい顧客に、正しい方法で届ける」ためには、ボットの種類や特徴を理解した上で、適切な対策を行うことが必要です。顧客からの信頼を失わず、ブランドの価値を守るため、ぜひこの記事で紹介した方法を実践してみてください。