人気のチケット販売では、悪質botによる買い占めが後を絶ちません。この記事では、チケットbotの仕組みと種類、そして転売を防ぐための手立てをご紹介します。
最近よく聞くようになった“bot”。特に人気グループのコンサートのチケット販売などにおいて事業者側でも様々な対策をとるようになったことで、耳にする機会が増えた方も多いのではないでしょうか?悪質なbotの問題はチケット業界で深刻化しており、不正な大量購入に加え、高額転売などの問題があります。プレイガイド大手イープラスのチケット販売では「アクセス試行数のうち9割がbotだった」というようなニュースも報道されました。
悪質botを放置しておくと、一般客のチケット購入が妨げられる、システムに余分な負荷がかかる、事業者のイメージダウンにつながる、データベースに支障が出るなど、様々な悪影響が及びます。こうした被害を防ぎ、チケットをファンの手へ届けるには、きちんと対策をとることが必要です。この記事では、botの種類と仕組み、そして被害を防ぐための方法を紹介します。
bot(「ロボット」の略)とは、特定または一連のタスクをオンライン上で実行する自動プログラムのことです。チケット販売の場面ではチケットbotと呼ばれるbotが使われています。
botの中には利便性を上げる「良いbot」もたくさんあります。例えば、サイトを検索・分析しながら検索エンジンの表示順位を決定するするクローラーbot、モバイルやSNS向けにサイトコンテンツのプレビューを作成するフェッチャーbot、サイトの機能に異常がある場合に管理者に警告を発するサイト監視botなどが挙げられます。
一方で、不正な目的のために開発された「悪いbot」が蔓延しているのも事実です。悪質業者はこうしたbotをチケットの大量購入や営業妨害、なりすましなどの目的のために悪用しています。
では、チケット業界における悪質なbotは、具体的にどのような場面で使われているのでしょうか?
![account creation shopping bot]()
アカウントの大量作成
正規の購入方法では、一人当たりのチケット購入数に上限を設けているケースが多くあります。そこで悪徳業者は、チケットを買い占めるために、botを使ってアカウントを大量作成します。
![account takeover shopping bot]()
アカウントの乗っ取り
アカウントの大量作成同様に横行しているのが、botを使った既存アカウントの乗っ取りです。この場合、botはユーザー名とパスワードの推測(クレデンシャルクラッキング)や、盗んだユーザー名とパスワードを使ったログイン試行(クレデンシャルスタッフィング)に使われます。
![scraping shopping bot]()
スキャルピング
スキャルピングとは、botを使ってチケットを監視し、特定のチケットに狙いを定めることです。こうして狙いをつけたチケットを、次に紹介するエクスペディティングbotで奪いに行きます。
![footprinting shopping bot]()
エクスペディティング
エクスペディティングはbotを使って高速なチケット購入操作を行うことです。どのくらい早いかというと、一般のユーザーがメールアドレスを入力している間に決済ページまで到達してしまうほどです。また、bot1台で100ウィンドウ分の処理を高速かつ同時にできるなど、量的処理能力にも長けています。
![denial of inventory shopping bot]()
在庫拒否
在庫拒否とは、botがチケットをカートに保持することで、一般のファンが買うのを妨げることです。イベントのチケットが売り切れると、ファンは高額な額を払ってでもチケットを入手したがるため、悪質業者はこれを利用して、チケットをカートに入れて「売り切れ」状態を作ります。そしてチケットを法外な値段で転売サイトに出品。ファンが転売価格でチケットを購入するごとに、カートに「保管」しておいたチケットを買うことで、利益を手にするのです。
![cashing out shopping bot]()
フィッシング&キャッシング詐欺
botを使ってカード情報を盗み、チケットを購入することです。盗んだカードの有効性を確認したり(カーディング)、有効期限やセキュリティコードを確認したり(カードクラッキング)することにもbotが悪用されます。
このように、botには私たちの生活を便利にするものから、健全な販売を妨げるものまで、様々な種類があります。では実際に運用しているのは誰なのでしょうか?チケットbotの場合、運用者は主にこのように分類することができます。
|
bot運用者 |
botの目的 |
|
公式チケット委託販売会社 |
|
|
個別のスキャルパー |
|
|
レジャーチケット提供会社 |
|
|
転売業者 |
|
|
犯罪者 |
|
チケットbotは、少なくとも20年前から存在しています。しかし、各国政府がbotに関して規制をし始めたのは、5年ほど前のこと。国により対応は異なるものの、中にはチケットbotが原則違法とされている国もあります。
日本では、ネット上の転売そのものを規制する法令はありません。しかし、2018年に、チケット販売を対象とした「チケット不正転売禁止法」が成立し、日時や開催地などが指定され、不正転売の禁止が明記されたチケットを、もとの販売価格を超える価格で転売することが禁止されました。施行後、不正にアイドルグループのコンサートチケットを転売したなどの理由で逮捕に至ったケースも複数あります。
米国では、2016年に議会によって「Better Online Ticket Sales (BOTS) Act」が可決され、チケット発行会社の規則を無視した購入行為は違法とされています。また、違法に入手したチケットを転売することも禁止されています。
欧州連合議会は、2019年4月転売目的のチケットbot使用や、公平な販売プロセスを妨害する行為を禁止すること、そして公式のチケット再販業者に対しては購入時(者)のID認証を必須とすることを議決しました。加盟国は、同年11月の採択時より2年以内にこれを国内法化することが義務付けられました。また、加盟国の中にはさらに一歩踏み込んで、チケット転売に関する法律を独自に設けた国もあります。
2017年、英国ではbotを使った制限枚数を超えるチケット購入が違法になりました。また二次販売業者には、座席などの情報を記載した固有なチケット番号を提供するよう義務付けています。
2017年、オーストラリアのニューサウスウェールズ州はbot対策法を可決し、転売時の値上げ上限を額面価格の10%とする条文を盛り込みました。翌年、南オーストラリア州では、チケット販売botを取り締まるため、「公正取引修正法案」が批准されました。
このように、法規制が成立しても、悪質botを使った転売の勢いは止まらず、今でもネット上では高額でチケットが転売されています。一体なぜでしょうか?
残念ながら、botを規制するための法律は万能ではありません。そのため、カバーしきれていない部分があり、効力には限界があります。例えば、NHKの報道によると、規制ポイントが「定価を上回る転売行為すべて」ではなく、「ビジネスとして転売する行為」に限られているため、捜査機関の判断によっては罰せられない可能性があるとしています。また、転売の責任は出品者にあるため、転売仲介サイト自体の責任は問われないことが多いとも言います。
また、米国では組織的な悪質botのオペレーターが地理的に分散していたため、法的拘束力が適用されないとみなされたケースもありました。
原価の何倍もする値段で転売してもチケットが売れ続けるのは、高くても買う人がいるという構造ができあがってしまっているからです。特にイベントのチケット販売など、熱心なファンがいる数量限定チケットの場合標的になりやすく、悪質な業者はこうしたファンの心理を悪用して利益を得るのです。
法律が万能でない理由のもう一つが、技術の発展スピードに法規制が追い付けないことも挙げられます。例えば米国のBOTS法では、チケット予約の際のみbotを使い、購入自体はbotなしで行った場合、合法とみなされます。これでは、在庫拒否botは制限の対象に入りません。このように最新機能を備えたbotは、法的な縛りを簡単にすり抜けてしまいます。
転売行為が根強くはびこるチケット業界ですが、しっかり対策を立てればbotによる被害を軽減することができます。では具体的にどのような方法があるのでしょうか。
まず重要なのがウェブサイトのモニタリングです。botは一般のユーザーとは異なる挙動をする傾向にあるため、モニタリングをすることで悪質なbotを特定することができます。
例えば、アカウントが乗っ取られIDとパスワードが盗まれるクレデンシャルスタッフィング攻撃では、盗難されたアカウント情報によるログインの大半が失敗します。そのため、ログインページにトラフィックが急増したけれどもログイン成功率が通常より低い場合、botによるアクセスの可能性があります。
また、同一のIPアドレスからの無数のアクセスがあった場合も、botの可能性が高いでしょう。例えば、Queue-itが仮想待合室のbot対策機能で検知したbotを調査したところ、50%以上が同じIPアドレスだったことが判明しました。
次に、bot対策ツールを導入することで、botの動きを阻害し、botの使用を制限することが挙げられます。
bot対策ツールは、マウスの動きやスワイプの仕方などの挙動を分析することでbotと一般ユーザーを区別し、場合によってはブロックすることができます。
また、仮想待合室を使えば、販売開始前に到着したbotは一般ユーザーと同様にランダムな順番が割り振られるため、素早くアクセスして先頭に立つというbot特有のアドバンテージを防ぎます。さらに、待合室に入るユーザー全員に対してID情報入力を求めることで、なりすましを困難にし、買占めと転売を回避できます。
bot対策をチケットの支払い段階で導入するのも、カーディングやカードクラッキングなどのブルートフォース攻撃を阻止するという意味で有効です。
チケット販売の方法を見直すことも有効です。例えば、チケットの転売価格に上限を設けることでインセンティブを低下させる、チケットをデジタル化し事業者がコントロールできるようにする、QRコードの表示時間に制限をかける、ID表示を入場時に要請するなどといった方法が挙げられます。
チケットを本当に必要とする人に正規の価格で届けることができる体制が整ってこそ、公平なチケット販売だと言えます。botによる買い占めと転売は、この公平性を損ない、業界全体に悪影響を与える、非常に悪質な行為です。
botによる問題を回避するには、チケット販売で使われる様々なbotの特徴を把握し、ツールの導入や販売方法を見直しながら対策を立てることが大切です。botフリーのチケット販売を実現するために、できることから始めてみましょう。