チケット購入アクセス「9割がbot」→“殲滅”へ イープラスの激闘を振り返る
今年8月、大手プレイガイド、イープラスのチケット購入サイト「e+」への一般先着チケット購入アクセスの9割がbotによるものだった、というニュースがさまざまなメディアで報じられた。あれから4カ月、イープラスのbot対策はさらに進み、目に見える効果をあげている。
そこでイープラスのチケットbot対策の取り組みを、一連の報道後も含めて振り返り、対策の効果をレポートする。
また、ようやく日本でもスポーツイベントや音楽コンサートなどの興行チケットの転売を規制する法律が成立した。規制法の趣旨を読み解きつつ、興行チケットの不正転売防止におけるbot対策の今後の在り方についても触れてみたい。
まずイープラスがとった、転売を目的にチケットを買い占めるbotへの対策の経緯について簡単に振り返ってみよう。
最初にイープラスが実施していた対策の1つが、同一の接続元からの単位時間辺りの接続数の閾値を設定し、閾値を超えたアクセスについてトラフィックを制御する施策だ。つまり、botによる高頻度のアクセスを、botかどうかの判定基準にする。
しかし、この対策の効果は徐々に薄れていった。このようなbotのオペレーター(botを操作する人間)は、サイト側で設定した閾値を探る行動をとる。閾値のアタリを付けるとそれを少し下回るアクセスレートを設定したbotを複数用意することで、botネット全体で大量の購買アクセスを行う。後の解析で、ある買い占めbotによるイープラスへのアクセスは、国内480のIPアドレスから800個のログインアカウントを使い一斉に行われていたことが判明した。このような手法は、イープラスに対するチケットbotだけでなく、他業種のサイトへの迷惑botでもよく見られる。
次にイープラスが導入した対策が、ゆがんだ難読文字をユーザーに入力させることで、人間かbotを判別する「CAPTCHA」という仕組みだ。しかし現在この仕組みは、人工知能(AI)技術を用いた画像認識によって人間以上の精度で自動解析され、botに突破されてしまう。
そこで、Webサイト上でユーザーに何らかの操作をしてもらうことで、人間かbotかを判断する、CAPTCHAを発展させたbot検知サービスを導入した。しかし、クラウド上で動作していたこのサービスが短時間だがダウンし、チケット販売がその間停止してしまったため、サービスの利用を断念した。商用サービスにクラウドベースの認証システムを組み込む場合は、その信頼性が重要だと痛感した出来事だったという。
継続稼働ができること(可用性)に加え、bot判定処理が集中した場合の高負荷を分散する仕組みや、トラブル時のサポート体制が整備されていることも商用のサービスへの利用では重要になるだろう。
最後にたどり着いたのが、「ふるまい検知」と機械学習でbotを検知するアカマイ・テクノロジーズ(アカマイ)のBot Manager Premier(BMP)だった。このシステムでbotを検知したところ、あるチケット発売日の販売サイトへの30分間のアクセス数約50万件のうち9割以上がbotによるものだと判明。これをブロックすることに成功した。中にはそれまでのサーバログ分析などの手法では認知できなかったbotも含まれていたという。
ここまでは8月時点で報道された内容だ。ここからは、その後の対策についても触れていこう。
BMPはいくつかの判定条件を組み合わせ、botからのアクセスかどうか「確度」を割り出す。誤検知による一般ユーザーのアクセスへの影響を避けるため、初期導入時にイープラスは、その確度に応じて「botの確度が高いアクセスはアクセス拒否で対応」「確度があまり高くないアクセスにはディレイ(遅延処理)を入れてbotの動きを緩慢にする」といった段階的な対応を取っていた。
BMPをしばらく運用した後、初期の導入設定の甘さを突いたいくつかのbotが検知をすり抜けていることを、イープラスが運用するサーバのアクセスログから確認した。そこで、これらのbotを排除するため、BMP設定のチューニングに取り掛かった。アクセスログとBMPのデータを突き合わせ、検知ポイントの追加や検知ルールの追加を行うなどのチューニングをアカマイの技術担当者と連携して数カ月集中して繰り返し、bot検知の精度を徐々に高めていった。
こうした検知の網の目を細かくしていく作業が、最も巧妙なbotを検知するためには欠かせない。検知システムを潜り抜けようとbotも改修を繰り返すが、その特徴をあぶり出して設定をチューニングできる仕組みを持っていることも対策を選ぶ際に重視すべきポイントになる。
このような追加対策の結果、検知精度が高まりbot利用者のほとんどは脱落した。最後まで抗っていたbot利用グループもいたが、“振るい分け”がここまで進むとそのグループを徹底的にマークできる。サイトの利用規約に違反する行動をしていたことも分かり、アカウント停止などの運用的措置を取ったことで、このグループからのbotアクセスも止めることができたという。専用のbot対策システムを導入することの真の価値は、ここまでの“振るい分け”の作業を自動化できることかもしれない。
徹底した対策の結果、長年イープラスがマークしていたチケットの申し込み代行サイトから、イープラスが販売している公演チケットの取り扱いをなくすことができた。また、チケット販売の委託元の興行主から、先着発売チケットの転売に関するクレームを受けることもなくなったという。最後にサイトの申し込み画面に残っていたCAPTCHAを取り除き、一般利用者のユーザビリティも上げることができた。
bot対策が成功した結果、botのアクセス数は激減し、一般のユーザーがよりアクセスしやすい環境となった。現在の先着販売時は、人間同士でチケットを争奪している状態だという。
筆者も、ある人気アーティストのライブツアーの一般先着チケット発売日にe+のサイトで買ってみることにした。販売開始時間の土曜日午前10時少し前にサイトにログイン。開始時間を待ち、お目当てのチケット購入ボタンをクリック、混雑で数秒遷移を待った画面もあったが、すんなり購入できた。その後、チケットが3分ほどで売り切れたという様子はとても“人間臭く”、チケットが人間によって買われているのだろう、ということを一般ユーザーとしても実感できた。
複数の人気チケットの先着発売日が集中する場合などは混雑もあると思うが、「イープラスで一般先着チケットが買えた!」という周りの声は多くなっているように思う。
一方、日本の興行チケットの転売などを規制する「特定興行入場券の不正転売の禁止等による興行入場券の適正な流通の確保に関する法律案」が国会に提出され、今年12月8日未明に可決された。待ち望まれていた法律面での整備が行われることになる。簡単にその中身を見てみよう。
この法律での「興行」とは、日本国内で行われる、映画、演劇、演芸、音楽、舞踊などの芸術、芸能またはスポーツを指す。この法律では、特定の日時や場所に加え、入場資格者か座席が指定され、不正転売の禁止が明記されるなどの条件を満たしたチケット(電子チケットを含む)「特定興行入場券」を、その興行主の事前の同意なく、販売価格を超える値で業として(※)転売することなどを禁止している。こうした条件を満たさないチケットは対象外となる。
(※)社会通念上、事業の遂行とみられる程度に行為を継続反復して行うこと。
あくまで筆者個人の印象だが、各分野の専門家によって相当吟味された法案だと感じる。例えば、全ての興行チケットが本人確認必須になってしまっても困るだろう。「友達から都合が悪くて行けなくなったライブのチケットをもらったんだけど、今度の日曜に一緒に行かない?」というドラマで見るようなせりふも過去のものになってしまう。しかしこの法律の内容なら、興行主やプレイガイドは、チケットが持つ本来の利便性を必要以上に損なうことなく、法律が定める条件に従うことで高額転売が懸念される特定の人気公演のチケットを規制法の対象にすることができる。
他方で、この法律の施行後でも、オークションサイトの自主規制の抜け道として用いられてきた策や、個人間の取引に模すなどの策を使って、高額転売を試みる人間がいずれ出てくるだろう。そこで期待されているのが、bot対策システムというわけだ。
このような違反行為のいわば“入口”である、悪質な買い占め行為をbot対策システムで検知すれば、転売目的で不正な仕入れを行う業者の行為を規制し、後の立件の材料として記録する使い方も考えられる。さらにこの法律によって、想定される一連の違反行為の“出口”となる、特定興行入場券の不正転売を押さえることもできるようになった。チケットの適正な流通の確保では、この入口・出口での両輪の対策を回す取り組みが実質的な効果を発揮していくことになるだろう。
幸い、イープラスのbot対策の発表をきっかけに、興行チケットを扱う多くの事業者が最新のbot対策の検討を開始している。来年以降さらに業界でのさまざまな対策が進むことを期待しよう。
