BLOG

私は以前、CIAのサイバー作戦担当官として、ボットトラフィックについての調査を担当していました。ここでは、Twitterアカウントの80%以上が実際は偽のアカウントであると思われる理由を説明します。そして、これはTwitterだけの話ではありません。

Dan Woods サムネール
Dan Woods
Published July 14, 2022

これまで、Twitter社の買収をめぐる目まぐるしいやり取りと新たな法廷ドラマについて聞いたことがあるかと思います。同社は買収されることを望まず、Elon Musk氏は、同社を買収するオファーを撤回しました。

この対立の中心にはボットトラフィックの話があり、これは私の得意分野です。過去6年間、私は、ボットを特定するためにWebのやり取りを解析するデータサイエンティストのチームを率いていました。アプリケーション ボットは調査の対象であり、目的でもありました。

平均して毎日約20億件のトランザクションがF5のボット対策インフラストラクチャを通過し、私たちは、ほぼすべての業界の数百もの企業に対し、そのボットトラフィックについて説明してきました。

この経験に基づくと、Twitterのボットトラフィックは、公に発表されている件数よりもはるかに多く、社内で想定されている件数よりも多いと思われます。公正な立場で言うならば、後者は、たいてい、悪質なボットまたは不要なボットのターゲットとなっているものの、ボットを排除するための最高クラスの技術を採用していないすべての組織に当てはまります。

この数年間で私たちが学んだことのいくつかと、上記の結論に簡単に至った理由を説明します。

ボットは、常に何かを達成しようとしている。

顧客がオンラインアカウントにログインできるようにしている組織は、数種類の不正行為を試行して実行するログインアプリケーションの自動化の問題に直面することになります。特別価格をオンラインで提供する組織は、価格、運賃、再販レートのスクレイピングに使用される自動化の問題に直面することになります。このような例は他にも多くあります。

Twitterのケースでは、主な動機はフォロワーの獲得です。フォロワーが多いほど、そのツイートの内容も面白くなり、必然的に、多くのフォロワーを持つアカウントのほうが影響力が大きくなる傾向があると考えられています。

影響力を増幅させる目的は、このモデルが当てはまる場合です。有名人や一般ユーザーの実際のアカウントとやり取りする何百万ものTwitterアカウントを自動でコントロールできた場合の影響力を考えてみてください。事実上制限のないリソースを備えた、強い動機を持つ国家的攻撃者を引き付ける可能性があるのです。

動機と手段があるところには、多くのボットが存在する。

Twitterには大きな動機が存在するだけでなく、手段もあります。インターネット(ダーク/ディープWebマーケットプレイスを含む)には、Twitterアカウント、フォロワー、いいね、有料のリツイートを提供する無数のサービスがあります。

私は調査目的で、作成したTwitterアカウントでこれらのサービスを試しました。テストは継続しており、1,000ドル未満で、アカウントには現在約100,000人のフォロワーがいます。まったくわけの分からない内容でツイートし、フォロワーに報酬を提供してリツイートしてもらうように依頼したところ、彼らはそのとおりにしました。これらのアカウントはTY19038461038のような名前で、他の多くのアカウントもフォローしています。

私は、自動化を利用したTwitterアカウントの作成はどのくらい簡単なのか疑問に思い始めました。私はプログラマではありませんが、YouTubeおよびStack Overflowで自動化フレームワークについて調べました。本当に簡単であることが判明しました。

私は次のレベルのテストに進むために、週末、Twitterアカウントの作成を自動化するスクリプトを作成しました。私の荒削りなスクリプトでも、保護対策でブロックされることはありませんでした。IPアドレスやユーザー エージェントを変更したり、アクティビティを隠すために何かを行ったりすることもありませんでした。

スキルが限られている人でも簡単であるということは、高度なスキルを備えた、強い動機がある個人の集まりにとってどんなに簡単であるか想像できるでしょう。

企業は、ボットの問題の規模を過小評価しがちである。

数年前、米国のあるソーシャル ネットワーキングサイトがF5のボット対策を導入したところ、ログイントラフィックの99%が自動化されていたことがわかりました。実に99%です。

事実、多くのアプリケーションで、トラフィックの80~99%が自動化されていることがわかっています。これらは特殊なケースではなく、多くの組織(小売業者、金融機関、通信事業者、ファーストフードレストランなど)で一般的な事実なのです。

もちろん、このことはその企業にとっては衝撃的なニュースでした。同社は、ボットの問題があることは認識していましたが、これほどとは思っていませんでした。その影響はすぐに実感されました。顧客アカウントのうち実在する顧客のものはごくわずかであり、残りはボットでした。

ソーシャルネットワーク企業の場合、すべてのアカウントのサブセットであるデイリーアクティブ ユーザー(DAU)の数は、評価において大きな役割を果たします。DAUが同社の考えていたうちのほんのわずかであったことが明らかになったことで、企業の価値が大幅に下がることになりました。

ボットからメリットを得る企業は、必ずしも知ろうとはしない。

組織が真実を知ることがなく、ボットの問題は5%未満であると単純に断言する場合、その企業の株主にとっては良いのではないかという意見もあるでしょう。

このようなプレッシャーは、評価がDAU数によって決まるソーシャル ネットワーキング サイトに単純に当てはまることはありません。在庫に限りのある需要の高い製品(コンサートチケット、スニーカー、デザイナーブランドのハンドバッグ、次世代iPhoneなど)を販売する企業についても言えます。

このような製品が、高騰した価格で二次市場に転売されるためだけに分単位でボットに対して販売されている場合、顧客を悩ませます。しかし、企業は依然として、在庫全体を迅速に売り切ろうとします。

このような場合、企業は、社内で行っていることはわずかであっても、ボットを阻止するためにできることはすべて行っているように見せたいと考えることがあります

Twitterだけではない。ボットの問題はすべての人の問題である。

現在の自動化の規模と速度、一連の動機によって犯罪者を引き付けやすいボットの高度化、私が調査で目にした対策の相対的な欠如を考えると、導かれる結論はただ1つです。おそらく、Twitterアカウントの80%以上が実際はボットであると思われます。これはもちろん、私個人の意見です。

Twitter社は、望ましくない自動化をプラットフォーム上で防止しようとしていることでしょう。他の企業も同様です。しかし、多くの場合、強い動機を持つ攻撃者からの高度に巧妙化した自動化に直面しています。このような状況で、ボットに対する修復はDIYプロジェクトではありません。同様に高度化したツールが必要なのです。

しかしながら、ここでさらに重要な問題があります。ボットの問題は、広告収入や、株価または企業の評価よりも大きいのです。この問題をそのままにしておくと、デジタル世界の基盤全体が脅かされることになります。

あらゆる場所からのボットの増殖を許してしまうと、何十億ドルもの損害を被る大規模な不正につながります。このような不正は、人々の生活を損なわせ、国家や不正を働く組織が誤った情報を拡散し、対立を作り出し、政治プロセスに影響を与えるツールを提供します。これは、世界各国で相互にやり取りを行い、関連を持つ私たちの能力に影響を与えるような、さらに多くの不正行為、誤った情報、対立を意味します。

私たちが社会としてすべての利便性、知識、娯楽、およびその他のインターネットやモバイル、つながる世界のメリットを手に入れたい場合、オンラインでの自動化されたトラフィックに関して何かしら対策を講じる必要があります。ボットに対抗するただ1つの方法は、大幅に高度化された自動化の仕組みを自分たちも持つことです。

F5のインテリジェンス部門グローバル責任者、Dan Woods著