イープラスに聞く、悪徳転売業者を駆逐するまで　チケット購入アクセスの「9割占めた」botを徹底排除：迷惑bot事件簿（特別編）（1/4 ページ）

　大手チケット販売会社、イープラスのサイト「eplus.jp」への一般先着チケット購入アクセスの9割以上がbotによるものだった──その後、導入したbot検知システム「Bot Manager Premier」（BMP）のチューニングを繰り返すことで網の目を細かくして、botのアクセスを遮断し、最終的に殲滅（せんめつ）した経緯は、過去の連載記事でも伝えた（関連記事）。

　botを駆使してチケットを買い占める高額転売業者に、イープラスがどのように立ち向かったのか。今回の「迷惑bot事件簿」は特別編として、イープラスの小西雅春氏（システム部 システム運用グループ 統括マネージャー）にインタビューし、当時の戦いを振り返りつつ、対策の決定打となったアカマイ・テクノロジーズ（アカマイ）のBMPの導入から1年がたった「bot対策の今」について語ってもらった（聞き手はアカマイの中西）。

「何かしら手を打たなければいけない」　積年の課題だった「転売対策」

左からアカマイの中西一博氏とイープラスの小西雅春氏

アカマイ中西　お久しぶりです。この連載の中でイープラスのチケットbot対策の回は、特に大きな反響がありました。そこで今回、さらに突っ込んだ話を直接聞ければと思っています。早速ですが、アカマイのbot検知システムを導入する前、イープラスはどのような状況だったのかあらためて教えていただけますか。

イープラス小西　当時、チケット販売会社はどの会社も同じ課題を抱いていたと思います。定価の何倍、何十倍もの価格でチケットが転売されていることは認識していて、何かしら手を打たなければいけない、というのが積年の課題でした。ただ正直なところ「これだ」という有効な手がありませんでした。

　どう考えても人の手によるものではないアクセスに対し、同じ接続元からのアクセス数が一定の頻度を超えたら、ページ遷移のスピードを遅延させるといった対策は講じていました。ただ、敵もさることながら、そうした対策には、クライアント数（botの数）を増やすなどして応戦してきます。それを実感したのは、2016年ごろです。アカウント登録時とチケット購入時に導入しているSMSによる二段階認証も、その頃に取った不正購入のためのダミーアカウントを乱造させない転売防止策の一つです。

　登録者情報をさらに深く分析することで、異なるアカウントを用いていても、ダミーアカウントの登録者情報には、いくつかの共通点があることが分かってきました。また、同一人物がまとめて登録したと思われるアカウントと、その後のサイトでの行動データを突き合わせて丹念に分析していくと、不自然な挙動が見えるケースもあります。

　こうした試行錯誤を繰り返し、“不正を行うリスクのあるアカウント”を抽出する試みを行っていたのですが、このような作業で不正行為を取り締まるには限界がありました。特に複数アカウントを使って全国にばらまかれたプロキシーサーバを踏み台にしてアクセスするなど、大規模かつ周到に準備した転売業者とみられる不正購買行為には、長い間決定打となる対策が見つけられませんでした。

中西　過去の連載記事で取り上げた、アクセスレート制御や、CAPTCHA（難読文字を入力させbotを判定する仕組み）による対策以外にも、裏側でいろいろ手を尽くされていたんですね。

DoS攻撃でサイトが麻痺、その隙に買い占め……高額転売業者の手口

小西　特に悩まされていた高額転売業者がいました。ひどいケースでは、16年春、あるイベントのチケットを先着販売開始時に、イープラスのサイトに買い占め目的のDoS攻撃を仕掛けられたのです。業者はサイトが麻痺（まひ）している隙に、特殊なアクセスを行うことでチケットを大量に買い占めました。

　そのチケットは、定価の数十倍に相当する30〜40万円の値段で転売されていました。それらのチケットは、購入手続きが終わった直後に、コンビニエンスストアで発券されていることが分かりました。

中西　不正を察知して、チケットを無効化する手を打つ前に、発券までしてしまうわけですね。明らかなサイバー攻撃であるDoSまで使いますか……ひどいですね。