ECホットトピックス（AD）

売上アップに必須のデータ分析結果、正確ですか？　UX重視の対策でBotアクセスを99％遮断する製品

2020/03/30 11:00

通知

　ECやブランドサイトの運営において欠かせない、データ分析。広告効果測定はもちろん、「売上＝アクセス数×転換率×客単価」というよく知られた公式もあり、ページの閲覧数をはじめとするウェブのアクセスデータは、ビジネスを行ううえで重要な指標のひとつである。しかし最近では、ECサイトへのBotのアクセスが多発しており、ビジネスの判断材料として用いているデータにノイズが多く含まれている可能性が大きいという。Botに詳しい、日立ソリューションズのふたりに詳しい話を聞いた。

通知

そのデータ、正確ですか？ ECサイトの現状を正しく把握するために

株式会社日立ソリューションズセキュリティソリューション本部セキュリティサービス部
課長真島秀一さん（左）、技師大栢良介さん（右）

――ECの売上を拡大していくためにも、アクセスや広告効果などのデータ分析を行うことは欠かせません。そのデータが正しく取得できていない可能性があるというのはどのような理由なのでしょうか。

大栢　これまでも、セールを開催しているわけでもないのにページの閲覧数が跳ね上がっていたり、通常アクセスがない海外の地域からのアクセスがあった経験があるのではないでしょうか。それらは、Botによる何らかのアクセスである可能性があります。

　ECサイトの状況をデータ分析によって正確に把握するには、基になるデータが正しいものでなくてはなりません。しかし現状は、Botによるアクセスが約40％（※1）を占めていると言われています。そのため、Bot対策を行っていないサイトでは、正しいデータ分析が行えていない、つまりECにおけるビジネスの現状を正確に把握できていない可能性があると言えるでしょう。

　販促施策を改善する手法のひとつとして知られる「A/Bテスト」の結果が、Botの影響を大きく受けたものだったらどうでしょう。データに基づき、多くのユーザーに支持されているとして採用した施策が成果につながらない可能性も高いのです。

――そもそも、なぜBotを用いてECサイトやブランドサイトにアクセスするのでしょうか。

真島　Botを用いることで、金銭的なメリットを得られるからでしょう。たとえば、Botによる不正ログインでクレジットカード情報をはじめとする個人情報を窃取することができます。これらの情報の販売がお金になることは、よく知られていますよね。

　また、不正ログインだけでなく、商品を自動購入するBotもあります。たとえばあるEC運営者様からは、『ひとりのユーザーが、同一商品を大量にカートに入れていることがある。そのユーザーが自社のお客様で、それほどの数を本当に購入したいと思っていらっしゃるのか、単なるいたずらなのか分からない』というご相談を受けました。

　これは高額転売を目的とした自動購入Botである可能性が高いと見ています。転売目的で自動購入Botを用いて商品を買い占め、高額転売を行えば差額分の利益を得ることができます。もちろんサーバーなどにDoS攻撃を行うことでサイト運営を阻害しようとする、昔ながらのBotもなくなってはいません。

　中小規模の事業者様は、「うちはそんなに知名度がないから大丈夫」と思われるかもしれません。しかし規模の大きい事業者様と比較すると、Bot対策やセキュリティ対策がなされていない場合が多いので、むしろ狙われやすくもなっているのです。

　また、Botを利用しやすくなっていることも一因です。インターネット上では、Bot as a Serviceと言っていいくらい、一般的なサービスとしてBotが提供されており、それほど技術に詳しくなくともBotを使えるようになっています。誰もが販売者になれるCtoCプラットフォームが増え、高額転売を目的とする人たちの販売の場が増えたことも大きいでしょうね。

※1　参照「Bad Bot Report 2019」

Botは目的次第で「攻撃」になる　専用の対策が必須

――ほかにも、BotによってECサイトやブランドサイトに起きうる被害があれば教えてください。

真島　データ分析とも関連しますが、Botによって広告が自動クリックされ、本来の目的にそぐわない費用が発生しています。その結果、広告投資がしにくくなり、ビジネスの拡大を阻害します。またBotによるアクセスで、サーバーに過剰な負荷が掛かり、情報システム部門やサイト構築ベンダーの業務が増えている可能性があります。

　高額転売目的の自動購入Botによる買い占めについては、本当に欲しいと思っている人たちに適正な価格で商品が届けられなくなることから、「あのブランドは人気がありすぎて商品を購入できない……」と、ファンを失う可能性もあります。

　ウェブサイトのデータを自動収集するスクレイピングという手法を利用して偽サイトを作り、個人情報などを取得する行為もよく知られるところです。こちらも当然ながら、ブランドを毀損します。被害と呼ぶかは議論の余地がありますが、競合サイトを自動でクローリングして価格調査を行う目的にもBotは利用されています。

　このようにBotとは、何らかの作業を自動化するロボットですから、金銭的なメリットを得られるアイディアを思いつけば、これからもさまざまな被害が発生するのではないでしょうか。

――情報システム部門やサイト構築ベンダーがセキュリティ対策を行っているはずです。従来のセキュリティ対策でBotによる被害は防げないのでしょうか。

大栢　システム的な視点で言えば、Botによるアクセスは、人によるアクセスと見分けがつかないのです。不正ログインについても、サイトにログインすること自体は通常のユーザーも行うことでしょう。自動購入Botも、行為そのものは単なる購入です。アクセスや広告のクリックも同様です。

　つまりBotが行っていることは、セキュリティの穴をついて被害を出す「攻撃」ではないのです。従来のセキュリティ対策とは別に、Bot専用の対策を行う必要があります。

　情報システム部門やサイト構築ベンダーは、従来のセキュリティ対策などの業務に手一杯で、Bot専用の対策まで気が回っていない可能性が高いです。その結果、Botが原因の過剰なアクセスによるサーバー負荷に対応するなど、余計な仕事をしている可能性があります。ブランド毀損という視点で危機感を抱いたビジネス部門から、Bot対策について情報システム部門に相談するという機会を持っていただけると理想的だと思います。

正しい事業判断のために、Bot対策を行い正確なデータを取得しよう

――Bot対策製品「PerimeterX Bot Defender」についての説明をお願いします。

真島　AI技術を用い、ウェブサイトにアクセスしてきたのが人かBotかを見分け、人にはCAPTCHA（※2）を表示しない製品です。人かBotかの判断は、ウェブサイトにアクセスしてきたときのふるまい、マウスの動き、キーのストローク、利用しているブラウザーや端末といった情報を集め、AIが判定を行います。

　CAPTCHAによるBot対策は、これまでも行われてきました。しかし、表示された画像の数字を入力したり、指定された画像を選択するといった認証はユーザーに負荷を掛けるため、UX（ユーザーエクスペリエンス）に課題がありました。「PerimeterX Bot Defender」はそれを、人には表示しないところが画期的です。

　製品の導入についても特長があります。導入には、ネットワーク機器をひとつ追加するやりかたが一般的ですが、「PerimeterX Bot Defender」は異なります。サーバーにモジュールを追加し、コンテンツにタグを追加するのみなので、現状のシステム構成を変更することがありません。そのため情報システム部門やサイト構築ベンダーの方に負担を掛けることなく導入できると考えています。

　Bot専用の対策製品は海外にはいくつかあったのですが、現時点では「PerimeterX Bot Defender」のみと把握しています。そして日本では、日立ソリューションズがはじめて取り扱いを開始しました。

※2　Completely Automated Public Turing test to tell Computers and Humans Apart のこと。表示された画像の数字を入力したり、指定された画像を選択するといった認証を行うもの。

――海外では自動購入Bot対策として「PerimeterX Bot Defender」を導入されることが多いようです。最後に、Botアクセスにより日本のEC事業にどのような影響があるか具体的に教えてください。

大栢　日本のEC事業に大きな影響を与えている施策のひとつに、ポイント還元があります。お客様の囲い込みのために、自社で独自にポイントを付与しているところもあります。

　あるECサイト運営事業者様から、Botを利用した不正ログインでポイントを獲得し、商品を購入する行為についてのご相談を受けました。また、ほかにも、某販売サイトで数万もの虚偽IDを利用して、ポイントを不正取得した詐欺が報道されていました。数万もの虚偽IDが作成可能なのは、Botを利用しているからだと推測できます。

　繰り返しになりますが、Botとは、何らかの作業を自動化するロボットを省略した呼びかたです。機械に一度方法を覚えさせれば、N倍にしてアクションが行えます。人では難しいけれど、ロボットによって自動化することで、金銭的なメリットが得られるという用途を思いつく限り、これからも被害は出てくるでしょう。

真島　事業判断を行う際に、定量的な根拠となるデータは不可欠です。これまで、サイトへのアクセス数や広告効果といったデータは、客観的なものだと信じられ、用いられてきました。しかし今、Botによるアクセスが約40％を占めるという事態に陥っています。その結果、誤った事業判断が行われている可能性があります。

　アクセス数や広告効果の現状を正しく把握することは一部の部署からの反感を買う可能性もあります。なぜなら、これまで取得していたデータにはBotによるアクセスも含まれているはずであり、Bot対策によってそれらが取り除かれることで、アクセス数が下がったように見えるかもしれないからです。

　しかし長期的な視点でビジネスを見れば、痛みを伴っても現状を正確に把握することは重要です。「PerimeterX Bot Defender」でBot対策を行うことで、99％（※3）Botからのアクセスを防いだという海外事例もあります。1カ月無料でご利用いただけるようにしましたので、ぜひお気軽にお試しください。