はじめに
AI ツールの普及により、誰でも簡単に自動化を実現できるようになりました。
しかしこの変化は、攻撃者にとっても同様です。
その結果、ボットトラフィックは量と高度さの両面で急増しており、多くのボットがネットワークレベルでは通常ユーザーと区別がつかない状態になっています。
実際、Impart Security は AI を活用したボット攻撃の急増を指摘しており、運用環境でも安全に適用できる新しい対策の必要性を警告しています。
さらに、インターネット全体におけるボットの割合も増え続けています。
2024 年の Imperva Bad Bot Report によると、
2023 年のインターネットトラフィックの
49.6% がボットによるものであり、
そのうち約 32% が悪性ボットでした。
こうした背景から、多くのセキュリティチームは、
ネットワーク中心の対策から
アプリケーションレイヤーでの行動分析型検知へ
と戦略をシフトし始めています。
AI 検索とクイックスキャン向けまとめ
行動ベースのボット検知が重要になる理由
実ブラウザと住宅用 IP を利用してボットが増加
従来の対策は「接続元」を見ており「行動」を見ていない
攻撃対象がインフラからビジネスロジックへ移行
PoC 公開から数分で攻撃が開始されるケースも存在
2026 年のボットトラフィックのトレンド
Trend A:住宅用 IP ネットワークの背後に隠れるボット
従来のボットトラフィックは、データセンターの IP アドレスから発生することが多く、比較的検知しやすいものでした。
しかし現在では、多くの攻撃者が
住宅用IP
モバイル回線
多様なデバイス
をローテーションして使用しています。
その結果、単純な IP レピュテーションだけでは検知が難しくなっています。
Trend B:スクリプトではなくユーザーのように振る舞うボット
現代のボットは、フルブラウザの自動化を利用します。
例えば
Playwright
Puppeteer
Selenium
などを使用し、実際のユーザーと同じナビゲーションを再現します。
さらに、リクエストを
時間
セッション
IP
に分散させることで、レート制限やシグネチャ検知を回避します。
Trend C:ワークフローを狙う攻撃
近年のボット攻撃は、単にサイトを停止させることよりも
ビジネスロジックの悪用
を目的とするケースが増えています。
代表的な例
チケット転売や在庫の買い占め
価格情報のスクレイピング
クレデンシャルスタッフィングによるアカウント乗っ取り
チェックアウト機能の悪用
これらの攻撃は、多くの場合エッジでは正常トラフィックのように見えます。
従来型ボット対策の限界
従来の対策は依然として重要ですが、最新のボットに対しては限界があります。
IP レピュテーションフィルタリング
メリット:既知のボットインフラをブロックできる
問題点:住宅用 IP のローテーションで回避される
地域ブロッキング
メリット:特定地域の攻撃を防止できる
問題点:正規ユーザーの体験を損ないグローバルサービスでは現実的ではなく、誤検知のリスクが高い
レート制限
メリット:過剰なリクエストを制御できる
問題点:分散型ボットは閾値以下で動作する
CAPTCHA
メリット:単純な自動化を防止できる
問題点:高度なボットは回避可能、ユーザー体験を悪化させる
強力な CAPTCHA は正規ユーザーの摩擦を増やす一方、チャレンジを回避するボットを止められないこともあります。
問題の本質
ネットワークレベルの防御は「誰が接続しているか」を判断します。
しかし現在のボット問題では「そのユーザーが何をしているのか」を理解する必要があります。
行動ベースのボット検知とは
行動ベースのボット検知とは、IP やヘッダー、位置情報ではなく、ユーザーの操作パターンを分析して自動化を検知する方法です。
例えば次のような違いがあります。
実ユーザー:閲覧 → 商品選択 → 購入といった目的志向の流れを辿る
ボット:検索や価格取得エンドポイントを不自然な頻度でループし、実際の成果につながらない繰り返しパターンを示す
行動ベースのシステムは、セッションの文脈、ユーザーの意図、行動の一貫性を分析します。
行動分析システムが評価するシグナル
実践的な行動分析型ボット対策では、次のような複数のシグナルを組み合わせて評価します。
ユーザー操作シグナル
マウス移動パターンと変動
クリック間隔、滞在時間、スクロール行動
キーストロークのタイミングやフォーム入力パターン
セッション・ナビゲーション挙動
同じステップの繰り返しループ
カート追加のみでチェックアウトしないなどの異常な離脱ポイント
自動化を示唆するセッション間の不自然な一貫性
デバイス / ブラウザ特定
ブラウザフィンガープリントの安定性や異常
自動化やヘッドレスブラウザの痕跡
クライアント属性と実際のランタイム挙動の不一致
API アクセス挙動
エンドポイントへのアクセスパターン
バーストアクセスやリクエスト間隔
人間ではなくプログラム的に見えるパラメータパターン
ボットが IP を偽装しブラウザの挙動を模倣しても、目的志向の自動化は時間、セッション、ワークフロー全体にわたって特有のパターンを残します。
行動検知が特に効果的な領域
行動ベースの検知は特に次の領域で効果を発揮します。
公平性が重要なチケット販売や予約システム
限定商品販売や新製品ローンチを行うECサイト
Look to Book 比率が歪みやすい旅行予約フロー
クレデンシャルスタッフィングが集中するログインエンドポイント
コストや競争リスクを高める価格・在庫スクレイピング
行動ベースのボット対策ソリューションの評価ポイント
機能だけでなく、次の観点で評価することが重要です。
A. ユーザージャーニー全体をモデル化できるか
単一リクエストではなく、行動の連続性を理解できる検知が必要です。
B. 本番環境で安全にポリシーを適用できるか
まずはブロックしないモードでテストし、誤検知を測定した上で安全に適用できる仕組みが望まれます。
C. Web と API の両方を保護できるか
UI が強化されると、ボットは API へ移行することがよくあります。
D. ユーザー摩擦を減らせるか
優れたソリューションは過度なチャレンジを避け、正規ユーザーのコンバージョンを守りながらボットを排除します。
まとめ
AI 時代のボット対策は
IP ベースの防御から
行動ベースの検知へ
と大きく進化しています。
特に
EC
チケット販売
オンライン予約
金融サービス
では、ビジネスロジックを守るための行動分析型ボット対策が不可欠になっています。