唐突ですが、家から徒歩1分の品薄でほしいものがあまり手に入らないコンビニと、徒歩5分だけどほしいものは間違いなく置いてあるコンビニがあったら、どちらを利用しますか?
後者を選択する人が多いのではないでしょうか。
かつては、悪いbotにより、前者のような状態に陥っていたのがチケット販売サイト「イープラス」だったようですね。
プロダクトマネージャーとしてはこういったところにもがっつり関わりますし、Webサイトはプロダクトの命運を握るので非常に共感できる話題ですので取り上げてみます。
botにはみんな困っている
イープラスに限らず、チケット販売サイト、旅行の予約サイトや航空券の予約サイトでは、ほとんどのアクセスが実はbotによるもので、みんな困っているという話を聞いたことがあります。
なので、イープラスだけではなく、こういったサイト全体が転売屋に犯されている状況かと思います。
botの目的は、愉快犯というよりも、転売目的で予約開始直後に買い占めるとかなので、相手もお金を使って時間を使って本気でbotを仕掛けてきます。
そして、botによるこういった購入を許してしまうと、本当に購入したいユーザがサイトを訪れた時には完売していて、ユーザにとっては使えないサイトに感じられ、チケット販売をビジネスの主力とするイープラスにとっては大打撃ですよね。
今回、取り上げる記事ではチケット予約サイトのイープラスにおけるbotとの戦いです。
イープラス vs 悪いbot
良いbotも悪いbotもある
良いbotとは、検索エンジンに登録してくれるgoogleのbotが代表例です。
他には、いろんなところで勝手に拡散してくれるbotなどは、アクセス頻度にもよりますが、良いbotに分類されるのではないでしょうか。
悪いbotとは、無駄にアクセスをたくさんしてくるやつ、問い合わせフォームに意味のない問い合わせを何度もやるやつ 、サイトの脆弱性を調べたりするやつなどがあります。
良いbotと悪いbotの区別は、シンプルにサイト運営者にとって有益かどうかという相対的な判断軸になっているのが現状だと思ってます。
悪いbotの倒し方 パート1
判断基準:
同一の接続元からの単位時間辺りの接続数の閾値で判断しブロック
結果:
一定の効果はあったが、時間経過とともに効果が薄れたとのこと。
botといっても作成者は人。
作成者は、なんか最近うまくbotが動かないなぁと思ったら色々と閾値を調べ出す。
結果としては、その閾値に抵触しないレベルのアクセス数に落として回避するとのこと。
私が携わっていたサービスでも、閾値でブロックする防御対策をしましたが、スローアタックと言われる閾値の下を潜られた経験があるので、妙に納得。
悪いbotの倒し方 パート2
判断基準:
ゆがんだ難読文字をユーザーに入力させることで、人間かbotを判別する「CAPTCHA」で判断しブロック
結果:
人工知能(AI)技術を用いた画像認識によって人間以上の精度で自動解析され、botに突破されてしまい、失敗したとのこと。
いやぁ、イープラスも段階を追って対応しますね笑
悪いbotの倒し方 パート3
判断基準:
ユーザに何らかの操作をしてもらい、その操作内容をみてbotか判断するサービスを利用
結果:
そのサービス自体が落ちてしまったことがあり、チケット販売自体が停止してしまい断念。
これはものすごい痛手ですよね〜
悪いbotの倒し方 パート4
判断基準:
アカマイ社のふるまい検知可能なbot manager premierの利用
結果:
チューニングを重ねることでなんとか迷惑なbotをブロックできるようになったとのこと。
イープラスの戦歴をみた感想
イープラスは段階を踏んでbot対策をしてきているので、かなり参考になりますね。
ただし、イープラスを救ったアカマイ社は、ITに携わる人以外は知っている人の方が少ないかもしれませんが、世界のIT企業の中心的な超有名企業。
何が言いたいかというと、すごーく値段が高いことでも有名。
そのため、この記事を読んでいる時にアカマイが登場した途端、「なーんだ、結局アカマイか」と思ってしまいました。
やっぱり、高いサービスを使わないと対応できないということなんですかね。。。
サービス収支を考えるとなかなか高価なセキュリティ対策はできなかったりするので、安くて効果が高いものがあったらぜひ知りたいところです。
大体のプロダクトマネージャーもきっと困っている悪いbotとの戦いでした!