Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

やらせレビューを乗り越えていくには

自分で利用していて薄々感じていましたが、それでもショックだったのが、2019年10月2日に放映されたクローズアップ現代+Amazonやらせレビューの番組でした。今回の日経ビジネスの記事はその内容とそんなに差分はありませんが、興味深い内容でした。

business.nikkei.com

 

気持ちを込めて嘘を書く
ーやらせレビューを書き込ませるまでの手順を教えてください。

王:応募者にはチャットでレビューの方法を指南します。まずは商品を購入してもらうところから始まります。実際に購入するとレビュー欄に「Amazonで購入」と表示され、信ぴょう性が増しますからね。レビュアーの手元に商品が届けば、最高得点の五つ星とともに、商品を褒めたたえるレビューを書き込んでもらいます。レビュアーにはこちらが指定した特定のキーワードを盛り込むよう指示しています。アマゾン内のキーワード検索で商品を上位に表示させるための工夫です。それと気持ちを込めて書くよう指導しています。いいかげんな書き込みだと、チャットで叱責します。日本人のフリをして応募し、不自然な日本語を書き込んだ場合も怒ります。ちゃんと書き直すまで、約束した金額は支払いません。

(中略)

ー日本を含めて世界中のアマゾンを束ねる米アマゾン・ドット・コムは、人手と機械を使ってやらせレビューを監視し、不正と判断すれば非公開とする措置を取っています。

王:アマゾンにやらせを検知されないように坂田地区の住人も日々腕を磨いています。例えばやらせレビューを掲載するタイミングです。ある日、突然レビューが増えたらアマゾンに不正を察知され、アカウントを凍結されかねません。そのため初日に10件、2日目に15件というように徐々に投稿するレビューの数を増やしていき、4日目に減らすといったことをやっています。初期の需要が一巡して、いったん販売が落ち着く状況を再現しています。

 それと五つ星ばかりが並ぶのも不自然です。通常であれば、一般の購入者が三つ星をつけたり、不良品を手にした購入者が一つ星をつけたりするものですが、いくら待っても低評価がつかないことがあります。その場合、あえて一つ星や三つ星のやらせレビューを依頼することがあります

(日経ビジネス記事より引用)

 

◆キタきつねの所感

食べログAmazonだけでなく、楽天等にもやらせレビューが蔓延し始めるとすると、一般消費者は何を信じれば良いのか分からなくなるかも知れません。セキュリティという題材とは少し違いますが、「人の脆弱性」を突く、ある種ソーシャルエンジニアリング手法と考える事も出来るかも知れませんので、少し考えてみたいと思います。

 

日本のAmazonに対応する「やらせレビュー」ツールとしては、サクラチェッカーとレビュー探偵が知られています。補足として、従来Android版しかなかったレビュー探偵は、昨年12月にPC版&Chrome拡張版をリリースしています。

 

サクラチェッカー

レビュー探偵(※アンドロイド版、PC版、Chrome拡張版

 

去年のクローズアップ現代+でも取り上げられた「サクラチェッカー」ですが、IT企業のSEが開発者の方とされており、サクラレビュー検知の精度は個人的に使った感覚ではまずまずあるかと思います。とは言え、今回の日経ビジネスの記事を見ると、既に業者は対策を始めていると言っても良いかも知れません。

 

f:id:foxcafelate:20200125184542p:plain

サクラチェッカーの主な分析項目は公開されており

 ①価格・製品(Amazon発送か、マーケットプレイス出品か?)

 ②ショップ情報・地域(中国住所か国内住所か?)

 ③ショップレビュー(同一ショップが販売している他商品の評価)

 ④レビュー分布(レビュー分布に偏りがないか?)

 ⑤レビュー日付(レビュー日付に偏りが無いか)

 ⑥レビュー&レビュアー(レビュー内容と、レビュワー等の分析)

 ⑦怪しい日本語のサクラレビュー ※⑥の詳細項目かと思います

 ⑧ライバル社からの悪評 ※⑥の詳細項目かと思います

に加えて、

上記の分析を不正レビュアーグループに潜入して得た「ロジック」や「機械学習」の仕組みを複合的に使用し分析しています。

 

が現状の分析手法の様です。潜入していた・・という所には少し驚きですが、それが故に一定以上の精度を出せている事は間違いないかと思います。個人的に使った感じでは「レビューとレビュアー」分析は甘い気がしますが、それを差し置いても、まだ「検知」してくれている気がします。

 

レビュワー評価が甘いと感じるのは、例えば以下の様な商品です。星5の評価者(大体がやらせと推定される)と低評価者が一部という構成ですが、

f:id:foxcafelate:20200126080828j:plain

f:id:foxcafelate:20200126080820j:plain

 

その評価者のレビューを見ると、機能説明に特化しで持ち上げる文章だったからか、あまり多くの参考になった票を得てませんでした。

f:id:foxcafelate:20200126081117j:plain

レビュワーの方の「他商品のレビュー」を見ると・・・ほぼ星5しかつけてません。この商品を高評価するレビュワーの方をいくつか見てみましたが、ほぼ星5を付ける人たちだけでした。この辺りが、サクラチェッカーは点数をもう少し辛くする必要があるのかな?と思います。(プレスクリーニングとしては良いのですが)

f:id:foxcafelate:20200126081059j:plain


星5レビュワーのコメントを見ていると、、なかなか面白い評価コメントを見つける事もあります。

f:id:foxcafelate:20200126091407j:plain

突然・・中国語に(しかも厳しい評価)なるのは、さくらレビュワーでは無かった頃の名残でしょうか。

 

 

いくつかの点で更なる検知機能UPが必要な気はしますが、私個人としてもよく使わせて頂いてますので、自分でレビューを確認する事をすれば良いので、(問題はあるかも知れませんが)十分に参考になる情報を提供してくれていると思います。

 

若干問題があるかな?という所で言えば、Amazonアフェリエイトのリンクが機械的に付くところですが、

f:id:foxcafelate:20200126075309j:plain

無料ツールである以上、仕方が無い事かと思います。(結構な副収入になるだろうなと愚考します)

 

一方で、今回の日経ビジネスの記事の”手法”が広がれば、(近い将来)サクラチェッカーの精度は落ちてく可能性があります。

①は製品をAmazon倉庫に預ければ評価点が向上しますし、

②は日本のダミー住所登録(許されるのであれば)で分からなくなります。

③には業者側に既に対応されている気がしてます。

例えば、下記の様な同じ商品を出品するショップが、Amazonで複数登録されている点が怪しいかと思っています。1つの商品の評判が悪くなると、違う商品登録(ショップ名が違う)に乗り移ってステマする、、という手法がとられた場合、③の評価点をくぐりぬけてしまうかと思います。

f:id:foxcafelate:20200126075948j:plain④~⑧は日経ビジネスの記事において、やらせレビューの依頼業者側が既に認識していて、例えば現在のチェック項目で大きな効果を上げていると思われる、④や⑤は、依頼を分散する事で対策が進んでくる様です。

 

一方でもう1つの国内ツール、レビュー探偵ですが、Chrome拡張版だけでなくPC版も、記事を書いている時点で臨時メンテナンスに入っていて、実働を確認できませんでしたが、

f:id:foxcafelate:20200126092328j:plain

 

メンテナンス中の為、魚拓サイトのデータを引用しますが、

f:id:foxcafelate:20200126092814p:plain

 

カーソルを当てると、評価結果が出てきます。

f:id:foxcafelate:20200126092937p:plain


レビュー探偵がどういった評価ロジックなのかについて、Android版のリリース記事に書かれていましたが、「非公開」という事です。

f:id:foxcafelate:20200126072014p:plain

不正レビュワーに攻略されると元も子もないので詳細は言えませんが、おそらく雑な(ダサい?)見た目からはとても想像できないようなかなり細かく真面目でわりと画期的なチェックをしていると思います。初期リリース段階で少なくとも数十のロジックによるフィルターを実装しています。

 

これもセキュリティ対策上の正しい手法の1つだと思います。賢い業者は、こうしたレビューツールを常に研究した上で、「やらせ」運用を考えてきますので、大事なロジックの一部(全部)はぼかしておくという手法(ブラックボックス化)は、業者が対抗策を立てづらくなる点で有効かも知れません。

 

因みに、レビュー探偵はAmazonアフェリエイトリンクを付加してないそうです。

f:id:foxcafelate:20200126072038p:plain

 

残念ながら、メンテナンス中だったので実稼働検証が出来ませんでしたが、こちらのツールも試してみたいなと強く思いました。

 

 

本日もご来訪ありがとうございました。 

Thank you for your visit.

 

レビュアーのイラスト(女性)

 

更新履歴

  • 2020年1月26日AM(予約投稿)