前回の記事では、アカマイの観測データを基に、電子商取引(EC)市場における2021年末から2022年始めのボットの状況と、特に悪質なボット(悪性ボット)の動きを紹介した。
今回は、悪性ボットへの対処方法について解説する。前回は、主に転売目的などの「買い占めボット」に着目してきたが、この他にも多様な悪性ボットの種類がある(下表参照)。いずれも実際に活動が確認されている主な悪性ボットの特徴だ。
表:悪性ボットの手口
ボットの管理
企業には、さまざまな悪性ボットから自社のサービスを守り、事業を邪魔されないようにする対策が必要だ。これには、ボット管理製品によるソリューションが有効である。ボットには、検索サービスのための情報を収集するクローラーといった良性なものもあり、一概にボットを「排除」するのではなく「管理」することがポイントだ。そのため、「ボット管理ソリューション」と呼ばれている。
自動化されたプログラムであるボットには、人間の手動操作とは異なる特徴があり、それを判定してボットを検知することができる。ボット管理ソリューションには、主に以下の2つの仕組みによって、通信がボットかどうかを検知する。
レピュテーション判定
接続元をネットワークとその地理、クライアントのブラウザーやクッキー、デバイス種別などの情報から特定し、それがボットの可能性を持つかどうか、レピュテーション(評判)を基に判定する。
振る舞い判定
上記のレピュテーション判定は、ボットとしての活動実績を基に検知するため、新規のボット通信を検知する能力は限定的だ。そこでリアルタイムな振る舞い判定を組み合わせる「シグネチャーマッチング」に加えて、機械学習による傾向分析からボット特有の動作を特定する技術なども活用される。
これらの仕組みを利用して、自社のサービスに接続してきたボットを検知したら、その通信をどのように扱うかを選択する。このソリューションでは、ボットからの通信を意図した通り拒否することはもちろん、通信への返答を遅らせてボットの動きを遅延させ、サーバーの負荷を下げることや、ボット専用の代替ページに誘導してボットをいなすような複数の選択肢が提供される。
場合によっては、さらに「CAPTCHA」(ボットか人間かを判定するマニュアルのテスト)を行うページに遷移させて、追加の判定を行うケースもある。認証画面に難読な文字や画像のパズルなどが表示されたことがある人は多いだろう。これもボットを判定する仕組みだ。以前はボット対策の主流だったが、ウェブサイト訪問者に追加の入力をさせるなど負荷がかかり、ウェブサイトから離脱してしまう恐れもあることから、現在は補助的な位置付けに移りつつある。
