チケット転売ボットとは？ 定義と守り方

チケット転売ボットとは？

Web上のビジネスやイベント主催者が提供する人気のイベントや製品は、大量購入や自動購入と呼ばれる最新の手法によって脅威にさらされています。転売業者は、一般利用者が利用できない手法でチケットや商品を購入する不正な存在です。コンピュータプログラム、いわゆる「チケット購入ボット」を使用することで、膨大な数のチケットを手に入れることが可能になります。

‍

転売ボットの狙い

チケット転売ボットは、購入プロセスに必要な情報、たとえば請求先住所やクレジットカード情報を自動入力するよう設計されており、人間の利用者がチェックアウトを完了するのに比べ、攻撃者の手間を大幅に削減します。

CAPTCHA やその他のセキュリティ機能は、進化した転売ボットにより突破されることがあります。bots。

Ticketmaster や Live Nation などのオンライン販売業者からチケットを購入する際、ボットにはサイト内のデータ抽出や関連リンクの追跡など、コンピュータ技術を駆使するスクリプトが組み込まれ、購入の成功率を高めています。

転売ボットは、販売者側が定めた購入制限を回避するため、サイトから適切な応答が得られるまで連続して試行を繰り返します。また、多数のクレジットカード番号が瞬時に取引されるため、人間が同様の作業を正確に行うのはほぼ不可能です。

‍

ボットはどのように動作するのか？

転売ボットは、チケット購入ボットを用いて以下の3段階でサイトを攻略します。

• 転売業者は、販売者サイト、イベントサイト、さらにはTwitterやその他のソーシャルメディアを常に監視し、魅力的な新商品の情報を探します。このプロセスは「ドロップチェック」や「スニーク」と呼ばれます。加えて、転売業者は利益のためにボットを用いて偽のアカウントを作成することもあります。
• カートに追加 — 選ばれた商品は、転売ボットによって素早くショッピングカートに追加されます。ボットは、在庫制限やCAPTCHAなどのセキュリティ対策を突破し、秘密裏に複数回の購入を実行できるよう工夫されています。各リクエストが特定の堅牢なIPアドレスから行われるよう、しばしばプロキシサーバを利用します。さらに、店舗やイベントサイトに近いサーバを配置して遅延を減らし、数ミリ秒単位で取得時間を短縮しています。
• 自動決済 — 最後に、実際の取引は転売ボットによって自動化されます。新規アカウントの作成や既存アカウントへのログイン後、複数のクレジットカード情報を用いて支払いを完了します。各取引ごとに異なる支払いプロファイルが使用され、名前や住所などの情報も変更されるため、発覚を回避します。

これらのボットは合法か？

ほとんどの州や国ではチケットの転売は許可されています。ただし、地域によって規制が大きく異なる場合もあります。

米国では転売に明確に対処する法律は存在しません。しかし、『転売を促進するためのプログラムの利用』は2016年のBOTS法により違法とされています。

国や地域によって規制はさらに多様です。例えば、オーストラリアのニューサウスウェールズ州では転売が禁止されていますが、転売価格が元のチケット価格の10％以上の場合は例外となります。

‍

転売ボットの種類

Web上での転売は、様々な種類のボットによって行われます。これには、自動操作、フォーム入力、事前登録などが含まれます。

1. プリボット:

有名なイベントのチケットを発売日前に購入できるよう、プリボットが利用されます。これは、複数のサイトに対して同時に動作し、その後、実際のクレジットカード情報を用いて必要なだけのチケットを購入するための準備を整えます。

2. フォームフィラー:

「フォームフィラー」と呼ばれるスクリプトは、名前、住所、クレジットカード番号などの情報が求められるウェブページ（主に登録フォーム）を収集します。ボットはこれらの情報を保存し、一度「正規の」利用者として認証されると、再度入力することなくチェックアウトプロセスを迅速に完了できます。

3. ‍自動リフレッシャー:

「自動リフレッシャー」と呼ばれるスクリプトは、ページを再読み込みしてチケットが利用可能かどうかを確認します。チケットが見つかれば、フォームフィラーで保存された最新のクレジットカード情報を用いて即座に購入処理を行います。サイトの在庫更新速度次第では、数時間または数日にわたり一つのボットで多数の取引が成立する可能性があります。

‍

転売ボットはビジネスにとってどのような脅威か？

転売業者が入手困難なチケットなどを大量に購入し、その後高値で転売するため、一般の利用者が欲しいものや必要なものを手に入れるのが難しくなります。

購入者は、転売業者と競わなければならず、非常に厳しい状況に置かれます。さらに、転売により、本来イベントに参加すべき利用者が購入できるチケット数が制限され、会場や関係者にも影響が及びます。

悪いカスタマーエクスペリエンスへの不満が広がると、企業の評判に悪影響を与える可能性があります。マイナスの体験は、ブランドの全体的な印象や、高級感にも響きます。

‍

転売の事例

2008年北京オリンピック

2008年の北京オリンピックは、21世紀におけるチケット転売として最も注目された事例です。この事件では、転売業者が特定の人物を利用して大量購入を行っていました。

中国の市民は、オンラインチケットサービスを使い、オリンピックの盛り上がりに便乗して、複数のイベントのために527枚のチケットを23万元（約34,000米ドル）で購入しました。結果、罰金と懲役刑が科されました。

捜査当局は、パラリンピックのチケットを転売しようとする134人の転売業者も摘発しました。異なる地域で転売業者が直接販売を試みる中、警察は一日で最大99人を逮捕することができました。

2017年パラダイスペーパー

公開されたパラダイスペーパーには、StubHubが意図的に許していたとされる過剰なチケット転売の証拠が含まれており、その結果、一人の著名なチケット転売業者が特定されました。

ケベック在住のジュリアン・ラヴァレ氏は、ボットを利用して世界各地のイベントパスを迅速に購入していたとされ、後にこれらのチケットをStubHubで転売しました。たとえば、CBCの報道によれば、彼は3回のアデルコンサートのために310枚のチケットを購入し、驚くべき52,000ドルで販売したとのことです。

‍

転売ボットを防ぐ方法 - シンプルな方法と高度な方法

シンプルな方法

以下の手法は、簡単に自社で実施できるものです。

• 多くのボットは古いバージョンの仮想化ソフトを使用しているため、古いソフトのバージョンをブロックするか、セキュリティの強化を実施する。
• 自動化された不正利用を防ぐために、サイト、モバイルアプリ、及びAPIにレート制限を設定する。
• 転売業者が中継サーバとして利用することが多い、Digital Ocean、OVH SAS、OVH Hosting、Choopaなどのプロバイダをブロックする。
• 失敗したログイン試行に注目する。これがボットの動作を示す場合が多い。

高度な方法

以下は、不正なボットに対する高度なセキュリティ対策です。

• デバイスフィンガープリント

転売ボットは巧妙な手法を用いるため、常にデバイスを変更するわけではありません。ブラウザを切り替えたり、クッキーを消去したり、プライベートモードやエミュレーター、仮想PCを使用する傾向があります。デバイスフィンガープリントは、セッション間で一貫したブラウザやデバイスの特徴を識別し、同一の主体が再利用されている可能性を見抜くのに役立ちます。

• ブラウザ検証

特定のブラウザを装い、ユーザーエージェントを切り替える悪質なボットも存在します。各利用者のブラウザが実際に主張しているものかを検証する、いわゆるブラウザ認証を実施します。例えば、ブラウザが期待されるJavaScriptエンジンを有し、想定通りにレンダリングされ、人間の利用者が行う操作を示すかどうかを確認します。

• AIによる行動解析

サイト利用者は予測可能な行動パターンを持っていますが、ボットは一見すると明確でない異常な動きをする場合があります。URL、サイト滞在時間、マウスの動き、スマートフォンのスワイプなどの行動を分析することで、疑わしいユーザーや取引を識別できます。これにより、悪質なボットを見分けることが可能となります。

• 高度なWAF

従来のWAFであればほとんどの転売ボットを防ぎ、転売から守ることができた時代もありました。しかし、現代のボットはより高度であり、機械学習やAIなど最先端技術を利用して、一般的なWAFを突破します。 そのため、Wallarmの次世代WAFのような高度なソリューションが必要です。DDoS攻撃や各種インジェクションだけでなく、転売からも守ることができ、非常に隠密な人間に近いAI搭載の転売ボットも検出可能です。

• 法規制

これは非常に基本的な考えですが、まだ十分に重視されていない点です。例えば、米国ではチケット転売は違法ですが、他の商品の転売は犯罪とされません。この規制はチケットに対して転売ボットの利用を制限しますが、その他のサービスやEC商品の転売は依然として行われています。

各国の政府が法律を整備すれば、オンライン・オフライン問わず転売をより厳しく規制でき、正当な購入者に公平な機会が提供され、買い占め行為を抑制できるでしょう。

• 転売を高コスト化する

多くの場合、転売ボットは買い占めによる利益獲得を目的として用いられます。つまり、転売の試みは経済的動機が根底にあります。もし転売の過程が得られる利益以上のコストを要するようになれば、攻撃者は資源と時間を投じることを控えるでしょう。

そのため、ECサイト運営者やサービス提供者は、暗号化や高負荷なチャレンジなど、サイバー犯罪者にとって負担となる障害を設けることを検討すべきです。こうすることで、攻撃者の意欲を効果的に抑止できます。

• 準備時間を与えない

攻撃者は転売ボットを展開するために、一定の時間とリソースを必要とします。ECサイト運営者やブランドが、攻撃者に十分な準備時間を与えなければ、転売を防ぐことができます。例えば、マーケティングキャンペーンの開始を少し遅らせることで、攻撃者の準備時間を短縮できます。

• レート制限

攻撃者が転売ボット攻撃を行う際、最終的な成功に至るまでに多数の試行が行われます。APIにユーザーやリクエスト数に対するレート制限を設定すれば、こうした攻撃を迅速に識別・排除することができます。また、IPアドレスごとにリクエスト数の上限を設けることも有効です。APIに限らず、モバイルアプリやウェブページにも同様の対策が適用できます。

• 行動追跡

転売攻撃者や一般のサイバー犯罪者は、検証可能な特有の行動パターンを示します。ボットにも独自の活動パターンがあり、専門家が詳細に分析することで識別が可能です。攻撃者の行動パターンを把握することで、それに対応するセキュリティ対策を早期に起動でき、防止だけでなくリスク軽減にも役立ちます。機械学習を利用した行動追跡を実施する際は、攻撃者が供給する偽データに惑わされないよう注意が必要です。

• 注文数の制限

多くの場合、転売問題は商品の配送段階で明らかになります。例えば、あるECサイトで特定ブランドのシューズの注文を制限したい場合、攻撃者がボットを使用して複数注文を行う際、同一の配送先や連絡先情報が使用される傾向があります。これらのパラメーターに基づいた注文数制限を実施すれば、不正注文の検出が容易になります。同様に、新規アカウントに対しても厳格な制限を設けると効果的です。

• 即時検出を有効化する

先進のボットや侵入検知ツールを利用すれば、転売ボットがECサイトを乗っ取ろうとしているかどうかを即時に判断できます。疑わしい動作が検出された場合に迅速に警告できる仕組みが望まれます。APIの場合、WallarmのAPIセキュリティプラットフォームを利用することで、効率的に脅威やボットの即時監視が可能です。Wallarmの解析データやレポートは、ビジネスに悪影響を及ぼそうとする転売ボットネットを早期に警告し、問題に対処するための準備時間を確保できます。

• 対策プランを準備する

これは転売を完全に防ぐものではありませんが、攻撃が成功した場合の影響を軽減することができます。信頼性の高いボット対策ツールをセキュリティ戦略に組み込むことで、ネットワークの耐久性を高め、攻撃後のサイトやアプリの復旧を迅速に行えます。

Wallarmによるボットからの守り

優れたセキュリティ対策を活用して、Wallarmのボット保護ソリューションは、チケットボットを防ぎ、悪質なボットを識別することが可能です。

堅牢なボット対策のためのセキュリティ手法は、Wallarmが提供するAPIセキュリティにも含まれており、正規のトラフィックのみがAPIエンドポイントに到達し、脆弱性の悪用を防ぎます。

さらに、Wallarmは多層的なセキュリティ対策を提供し、あらゆる規模や種類のDDoS攻撃からサイトやネットワーク基盤へのアクセスを遮断します。クラウド型WAFシステムは、正当なトラフィックを許可しながら悪質なトラフィックをブロックすることでアプリを守り、ネットワーク内のアプリやAPIはGateway WAFによって保護されます。