トレーディングカードやスニーカーなど、多くのファンを抱える企業の頭を悩ませるのがbotを使った転売行為。この記事では、「botによる転売のしくみとは?」「どうすれば防ぐことができるの?」といった疑問に答えます。
botとは、一定のタスクを実行するためのソフトウェアプログラムです。大きく分けて、ウェブサイトをスムーズに運用するための「良質なボット」と、個人情報のはく奪や商品の高額転売など、悪用目的に使われる「悪質なボット」があります。
中でも法規制が追い付いておらず、Eコマースにとって大きな痛手になっているのが転売bot。「トレーディングカードやファッションアイテムの販売開始後、瞬く間に商品が買い占められ、二次市場で法外な価格で売り出されている」という場面に遭遇したことのある人も少なくないはずです。こうした事態はbotを使って不当に利益を得ようとする転売ヤーの仕業です。こうした事態が続いてしまうと、顧客体験を低下させ、企業への信頼度やブランド価値も損ねてしまいます。
また、悪質botの技術は年々進化しており、bot対策ソフトをすり抜けるために人間のマウス動作に近い動きをするbotや、プロキシやVPNを使って痕跡を隠し、同一のIPアドレスを用いた場合でもあたかも個別のアクセスのように見せられるbotなどが出回っています。こうした不正行為に対抗するためには、botの種類としくみを理解することが大切です。転売目的で使用されるbotには以下のようなものがあります。
スクレイピングbot
ウェブサイトから価格や在庫情報などを自動的に収集するbotをスクレイピングbotと言います。(スクレイプは「かき集める」の意味)
スクレイピングbotは、一般ユーザーには到底かなわないスピードと処理能力で、ウェブサイトの情報を収集します。例えばあるスニーカーの再販の場合、心待ちにしているファンは手動でブラウザを更新し、販売開始まで画面に張り付いていなければいけません。しかし、スクレイピングbotの前ではそうしたファンの努力も水の泡です。一瞬でも画面から目を離すと、botに商品を取られてしまいます。
フットプリンティングbot
フットプリンティングbotは、サイバー攻撃に先立ち、標的のウェブサイトやネットワークの弱点などを探るために使われます。bot悪用者は、フットプリンティングbotを使って事前にシステムの構成や状況をスキャニングすることで、攻撃手法を検討します。また、本番環境であれば、未公開のウェブサイトであっても潜り込むことができます。
あるNikeのコラボ商品販売 (Nike SB x Strangelove Skateboards)では、発売日前日にフットプリンティングbotが検出され、オンライン販売が中止になりました。
アカウント作成bot
botが購入を完了するためには、ECサイトのアカウントが必要です。正規の購入方法では、一人当たりの購入数に上限が設けられていることもあるため、bot悪用者はアカウント作成botを使って何千ものアカウントを一気に作成します。
アカウント乗っ取りbot
アカウント作成botと並んでよく見られるのが、一般ユーザーのアカウントを乗っ取るbotです。
アカウント乗っ取りbotには主に二つの種類があります。クレデンシャルスタッフィングbotは、不正に入手したログイン情報で対象のサービスへのアクセスを試みます。一方、クレデンシャルクラッキングは、メールアドレスなど一つの値を定め、パスワードを推測しログイン試行します。
スキャルピングbot&エクスペディティングbot
スキャルピングbotは、商品ページに居座り、特定の商品に狙いを定めます。そして目当ての商品が決まったら、エクスペディティングbotが高速で自動購入します。この種類のbotは、速度・量どちらにおいても処理能力が非常に高く、本物のスニーカーファンがメールアドレスを入力する前に、ECサイトの在庫を空にしてしまいます。
在庫拒否bot
在庫拒否botは、商品をカートに追加した後、購入せずにそのまま「保持」します。いったん商品を「売り切れ」状態にすることで、一般のファンが正規ルートで購入するのを妨害するのです。そして、転売先で商品が高額で売れてはじめて、botにもとの商品を購入させ、不正に利益を得ます。
キャッシング詐欺bot
キャッシング詐欺botは購入時に使われるbotです。エクスペディティングbotや在庫拒否botが保管した商品を購入する前に盗んだカードの有効性を確認したり(カーディング)、有効期限やセキュリティコードを確認したり(カードクラッキング)します。
botは様々な方法で攻撃を仕掛けてくるため、状況に応じて戦略をたてましょう。ここでは効果的なbot対策の代表例をご紹介します。
1. 古いブラウザとデータセンターからのトラフィックに注意する
botとユーザーの見分け方の一つとして、ブラウザのバージョンが挙げられます。正規のユーザーは最新の(もしくは比較的新しい)バージョンを使用していることが多いのに比べ、botスクリプトは古いバージョンで実行される傾向にあります。
そのため、2年以上前のバージョンにはCAPTCHAを表示し、3年以上前のバージョンにはハードブロックをかけると無難だと言えるでしょう。
|
|
CAPTCHA対象 2年以上前のバージョン |
ハードブロック対象 3年以上前のバージョン |
|
Chrome version |
< 88 |
< 80 |
|
Firefox version |
< 86 |
< 73 |
|
Safari version |
< 14.0.3 |
< 13.0.5 |
|
Edge version |
< 88 |
< 80 |
2023年3月現在。バージョン履歴の確認はこちらから:Chrome、Firefox、Safari、Edge
また、データセンターからのトラフィックはbotである可能性が非常に高く、悪質なbotの70%はデータセンターから発信されているとの報告もあります。
bot悪用者は、データセンター内のサーバースペースを購入し、何百というIPアドレスをいとも簡単に入手します。特に、Digital Oceans、GigeNET、OVH Hosting、Choopa, LLCデータセンターから大量にアクセスがあった場合、ソフトブロック(CAPTCHA表示)またはハードブロック(アクセス拒否)を検討することをお勧めします。
このように、古いブラウザとデータセンター経由のトラフィックに注意し、botの疑いのあるトラフィックを事前に排除することで、低レベル~中レベルのbotは排除することができます。
2. トラフィックをモニタリングする
bot対策で次に重要なのが、トラフィックをモニタリングし、botを特定することです。
bot対策ツールは、マウスの動き、リクエストの頻度、ページ上の時間などの行動指標を分析し、疑わしいトラフィックを特定します。(たとえば、マウスを動かさずに複数のページを訪問したユーザーがいた場合、botである疑いが高いと判断できます。)
疑わしいトラフィックが特定できたら、デジタルフィンガープリンティングという技術を使って、ブラウザの種類、IPアドレス、クッキー情報、ブラウザの拡張機能などを調べて警告フラグつきのユーザープロファイルを作成します。
botはECサイトのAPIに直接侵入し、高速で商品にアクセスします。そのため、これに対抗するには、ウェブサイト、モバイルアプリ、APIなど、全てのエントリーポイントを監視できるbot対策ツールが必要です。
また、機械学習によって特定のウェブアプリケーションのセキュリティを常に更新する優れたbot対策ツールもあります。botを使った不正行為の手法がますます高度化する中、こうしたツールを積極的に取り入れることで、進化する脅威に対抗することができます。
3. botと思われるトラフィックを阻止する
botの可能性があるトラフィックを検出したら、次は適切な対処をしましょう。疑いのあるトラフィックにはGoogleのCAPTCHAやPerimeterXのHuman Challengeなどのソフトブロックを、botであることが確認できたトラフィックは完全にブロック、レート制限をかけるなどして、botの侵入を防ぎましょう。また、ブロックしたbotの情報を記録することで、今後の攻撃を阻止できる可能性が高まります。
4. トラフィック管理ツールでbotをフィルタリングする
空港でセキュリティゲートを通過してはじめて搭乗できるのと同じように、仮想待合室はウェブページと購入経路の間のチェックポイントのような機能を果たします。つまり、ユーザーが商品を購入する前に本人確認を行うことで、ユーザーとbotを見分け、botであった場合その侵入を防ぐことができるのです。
また、仮想待合室は、botによる商品購入を防止するだけではなく、販売のプロセスを公平にし、より良い顧客体験を提供することができます。
販売開始時間より早くアクセスした人は以下のようなカウントダウンページに案内されます。
販売が始まると同時に、カウントダウンページにいた人には抽選によりランダムに番号が割り振られます。
販売開始後にアクセスした人は、その後に続いて先着順に番号が与えられ、順番にサイトへ案内されます。こうしたしくみによって、不正行為のない、公平で快適な販売を実現することができます。
5. 販売後の点検を慎重に行う
botの侵入を完全に防ぐことは困難ですが、botに商品を取られたからといってそれで終わりではありません。今後の販売をbotや転売から守るためには、以下のような点に気を付けながら、出荷前に点検を行うことが重要です。
- 同じ住所から複数の注文が行われていないか
- 同じIPアドレスから複数の注文が行われていないか
- あるクレジットカードが別の顧客の注文でも使われていないか
- SNS上でbotを使ったサイト操作をほのめかす発言はないか
botによる注文が特定できた場合、注文のキャンセルや、購入者のアカウント停止を検討しましょう。また、今後の被害を防ぐためにIPアドレスやクレジットカード情報を控えておくことも重要です。
長年転売に悩まされていたNikeは販売後の点検を行った結果をうけて、bot対策の強化に乗り出しました。返品手数料を設けること、払い戻しを拒否すること、転売目的である購入が確認された場合アカウントを凍結することなどを新たに利用規約に盛り込み、転売防止に向けた対策を強固に打ち出しています。
最先端のbotオペレーターは、居住地プロキシを使用してIPアドレスを隠したり、配送先住所に手を加えるなど(アドレスジギング)、あらゆる手を尽くしてbot防止策をすり抜けようとします。しかし、慎重に購入履歴を確認することで、不正行為を特定できる可能性が高まります。
近年、フリマ大手のメルカリが特定の商品を対象に転売対策を強化したり、家電量販店が相次いで転売防止目的の購入条件を設定したりと、企業レベルでの取り組みが報道されるようになりました。しかし、法規制が整っていないこともあり、転売行為がとどまる様子はありません。
そのような中で、「本当に商品が欲しい顧客に、正しい方法で届ける」ためには、botの種類や特徴を理解した上で、適切な対策を行うことが必要です。顧客からの信頼を失わず、ブランドの価値を守るため、ぜひこの記事で紹介した方法を実践してみてください。