ネットショップにおける転売目的の不正購入対策
最近、子供向けのカードゲームが店頭で品薄となり、一方でフリマサイトなどでは子供たちが手に入れるのが難しいほどの価格で転売されている事例がニュースで取り上げられています。このような転売ヤー(または転売屋)による不正購入に対する、商品を販売する側の対策について考察してみましょう。
1.現状は転売目的の不正購入を完全に防ぐことは困難
転売ヤーの不正購入手法は多岐にわたります。実店舗では、一人あたりの購入制限を設けるなど店舗ごとに独自の対策を講じている場合もあります。しかし、転売ヤーはアルバイトなどを雇い、販売日当日早朝から並び、大量購入を試みるなど、不正転売目的の購入を完全に防ぐことは難しい現実があります。
同様に、ECサイトなどのネットショップにおいても、転売目的の不正購入対策が難しさを増しています。転売ヤーによる不正購入の手法には、
●botを使用した大量のアカウントを作成や既存アカウントの乗っ取り
●スキャルピング(短い時間に何度も取引を繰り返す手法)
などがあります。
このような不正購入手法を駆使して、商品が販売開始と同時に大量アクセスを行い、一般の利用者よりも速く、大量に、特定の商品を購入することがあります。
また短時間の大量アクセスにより、ECサイトがダウンするなど、商品が購入できない状況が発生することにより、DoS攻撃と同様の影響を及ぼすこともあります。
2.ネットショップにおける対策は?
botによる大量アクセスを防ぐためには、ファイアウォールなどを用いて不正アクセスを阻止することが考えられますが、巧妙なbotに対抗するのは難しいことも事実です。またbot以外にも、同一人物が複数の人物になりすまして購入する「なりすまし購入」の手口もあります。このような状況において、どのような対策が考えられるでしょうか?
一つのアプローチは、botの効率性に着目することです。たとえば、商品を購入しようとする一般のユーザーは、通常、TOPページからログインし、商品を選択し、カートに入れてから購入手続きを行います。botを使用すると、これらの手順を人間よりも高速に実行できるため、人ではない何かによる購入と判断することも可能です。また、普段はほとんどがモバイル端末からの購入が多いサイトなのに、急にPCからのアクセスの購入が多くなったなども不正購入を疑う判断基準になります。また、同一人物が複数の人物になりすます手口でも、同じ端末や同じアクセス元から多数のIDでのログインを試行するなど、不正の兆候が見られる場合があります。
セキュアブレインは「SecureBrain Scam Radar(セキュアブレイン・スキャムレーダー) BD」というリアルタイムで不正取引を検知するシステムを開発・提供しています。「SecureBrain Scam Radar BD」は、Webサービスやモバイルアプリへのアクセス時に発生するテレメトリ(遠隔情報収集)データをリアルタイムで収集・分析します。不正の判定は、「IPアドレス」「ユーザーエージェント」「言語」等々の属性や、利用者 ID の履歴とその評価、リスト型攻撃によく用いられる同じ端末からの複数回のアクセスやログイン等の時系列情報など様々な情報を組み合わせ・分析し、スコアリングを行い、不正な取引をリアルタイムで検知し、アラート通知と可視化レポートを提供します。
このシステムを利用することで、「盗まれた情報でのログイン」や「複数アカウントを利用したWebサービスの不正利用」、「botによる機械的な不正アクセス攻撃」などを検知することが可能です。Webサービスの不正取引にお悩みのお客様はセキュアブレインにご相談ください。
弊社製品・サービスのお問い合わせは以下よりお願い致します。
https://www.securebrain.co.jp/form/service/inquiry_input.html