はじめに
ランサムウェア対策というと、「感染後の検知・駆除」に注目が集まりがちです。しかし、AI 時代のサイバーセキュリティでは、感染の原因となる「初期侵入」を防ぐ予防的統制(Preventive Control) がますます重要になっています。
攻撃者は今や、AI を活用した自動化ボットを駆使し、膨大な数のサービスを同時にスキャンしています。ランサムウェアが実行される「結果」だけでなく、その入り口となる Bad Bot(悪性ボット)を遮断することが、現代のセキュリティ戦略の基盤となりつつあります。
1. ランサムウェア攻撃における Bad Bot の役割
攻撃の初期侵入経路
業界レポートによると、ランサムウェアの初期侵入経路は以下のように分類されています。
侵入経路 | 割合 |
|---|---|
脆弱性の悪用(Exploit) | 33% |
認証情報の窃取・再利用 | 16% |
フィッシングメール | 14% |
(出典:Mandiant「M-Trends 2025」)
この数字が示しているのは、「メールだけが原因ではない」という点です。
システムの弱点や、どこかで漏れた ID とパスワードが、実際の侵入に多く使われています。
注目すべきは、Bad Bot がこれらすべての侵入経路を増幅させているという点です。
Stage 1:AI ボットによる大規模偵察
攻撃者がランサムウェアを展開する前に、ボットは以下のような大規模な偵察活動を行います。
主な探索対象:
ログイン・認証ロジックの脆弱性
ファイルアップロードや入力検証の不備
API Rate Limit の回避可能性
管理画面へのアクセス経路
古いライブラリや設定ミス
Bot は毎秒数千件もの「正常に見える」リクエストを多数のサービスに送信し、わずかな脆弱性も見逃さず探索します。
Stage 2:脆弱性の悪用と侵入
ボットが弱点を検知すると、攻撃者は以下の手法で侵入をエスカレートさせます。
クレデンシャルスタッフィング:流出した認証情報を使った大量ログイン試行
過剰リクエストによるサービス障害
API の悪用と権限昇格の試行
アプリケーションロジックの悪用
これらのステップは多くの場合完全に自動化されており、人間では追いつけない速度で侵入が試みられます。
Stage 3:ランサムウェアの実行
アクセス権を獲得した後、攻撃者は以下の方法でランサムウェアを展開します。
侵害されたアカウント経由
フィッシングリンクや QR コード (クィッシング)
悪性の添付ファイル
脆弱なサーバーへの直接侵入
サプライチェーン攻撃
攻撃者は通常、複数の侵入経路を同時に使用することで運用の混乱を引き起こし、対応を遅らせ、感染の可能性を最大化します。
ポイント:ボットが初期段階の侵入を大規模に実行するため、ボットトラフィックの制御がランサムウェア予防の基盤戦略となっています。
2. なぜ従来の WAF だけでは Bad Bot を防げないのか
多くの企業が WAF(Web Application Firewall)を導入していますが、WAF はいわば「ドアロック」のようなものです。攻撃者が「合鍵」を持っていれば、正面玄関から堂々と侵入されてしまいます。
(WAF は依然として重要なセキュリティレイヤーであり、本記事は WAF を否定するものではありません)
WAF vs 高度なボット管理:機能比較
機能 | 従来の WAF | 高度な Bot 管理 |
|---|---|---|
検知の基準 | シグネチャ / コード(SQLi、XSS など既知の悪性パターン) | 行動 / 意図(ユーザーの操作パターンを分析) |
「正常な」トラフィックへの対応 | 意図が悪意でも、形式が正しければ通過 | 「Low and Slow」攻撃や人間の行動を模倣した攻撃も検知 |
AI Bot への対応 | Headless Chrome などによる偽装に騙されやすい | マウスの微細な動き、スクロール速度、遅延パターンを検知 |
IP 防御 | 静的な IP ブロック(プロキシで容易に回避) | レジデンシャルプロキシネットワークにも対応する動的分析 |
WAF が不十分な 3 つの理由
理由1:WAFは「コード」は見るが「意図」は見ない
従来の WAF は SQL インジェクションや XSS など「悪意のあるコード」をシグネチャと照合して検知することに特化しています。
問題点:
現代の AI Bot は悪意のあるコードを使いません。POST /login や GET /product といった文法的に正しい「正常トラフィック」 を送信します。WAF にとってこれらは「正常なリクエスト」に見えるため、通過してしまいます。
また、在庫の買い占め(スカルピング)やポイント詐取といったビジネスロジックの悪用は、システムの「機能」を悪用しているだけで、WAF には「正常な利用」に見えます。
理由2:人間と区別がつかない AI Bot
かつてのボットは識別は容易でした。しかし、高度・中程度のボット攻撃は全悪性ボットトラフィックの約 55% を占め、人間と見分けがつかないよう設計されています。
(出典:Imperva「Bad Bot Report 2025」)
特徴:
ブラウザ偽装:Headless Chrome など実際のブラウザエンジンを使用し、完全なレンダリングを実行
行動エントロピー:ランダムなマウスの動き、変化するスクロール速度、リアルな遅延を生成
高度なクレデンシャルスタッフィング:ダークウェブの漏洩情報を使い、検知閾値を巧みに回避する「Low and Slow」攻撃を実行
関連統計:
アカウント乗っ取り(ATO)攻撃は前年比 40% 増加しており、金融サービス業界が最も標的とされています(全 ATO 攻撃の 22%)。
(出典:Imperva「Bad Bot Report 2025」)AI を活用したボットトラフィックが過去 1 年で 300% 増加し、ピーク時には 1 日あたり約 11 億件に達したと報告されています。これは、ボットがもはや一部の例外的な存在ではなく、インターネット全体の前提条件になりつつあることを示しています。
(出典:Akamai「詐欺と不正行為レポート 2025」)
理由3:IP ブロックの無力化
「攻撃者の IP をブロックする」という従来の戦略は、レジデンシャルプロキシによって無効化されています。
問題点:
攻撃者はデータセンター IP ではなく、一般家庭のルーター、IoT デバイス、PC を踏み台にした「レジデンシャル IP」 を使用します
世界中で 1 億以上の「クリーン IP」 がアクセス可能です(Oxylabs、Bright Data などのプロバイダー経由)
これらの IP は実際の ISP が割り当てた正規 IP のため、ブロックすると正規ユーザーも巻き込む誤検知(False Positive) が発生します
AI Bot は 1〜2 リクエストごとに IP を自動変更でき、手動でのファイアウォール更新は追いつきません
ポイント:シグネチャベースの WAF と静的 IP ブロックでは、現代の AI Bot に対抗できません。
3. 効果的なボット管理に必要な要素
初期段階での侵入を阻止し、ランサムウェアリスクを低減するには、CDN・クライアント・サーバーの各レイヤーをまたいだ多層防御が必要です。
3.1 CDN レイヤーを超えた「フルスタック」防御
CDN レベルでのボット管理は基本要件ですが、それだけでは不十分です。攻撃者は CDN をバイパスしてオリジンサーバーを直接攻撃したり、高度なクライアントサイド自動化を使用するケースが増えています。このように、ボット攻撃は単一のレイヤーでは完結せず、どこか一箇所だけを守っても容易に迂回されます。
クライアントサイドエージェント保護
従来の CDN エージェントでは検知が難しい高度なブラウザ自動化を阻止するには、深い行動分析が必要です。
代表的な自動化ツール例:
侵入経路 | 割合 |
|---|---|
Selenium | Webブラウザの自動操作フレームワーク |
OpenBullet | クレデンシャルスタッフィング用ツール |
SilverBullet | OpenBullet の後継ツール |
これらは本来テスト目的で設計されたツールですが、高度な複雑性で人間のインタラクションを模倣するよう悪用されています。
サーバーサイドエージェント保護
ボットは多くの場合、Web インターフェースを完全にバイパスして特定の API エンドポイントを直接標的にします。露出した API は高リスクの脆弱性となるため、CDN やクライアントサイドのフィルターをすり抜けた悪意あるトラフィックを捕捉するサーバーサイドレイヤーが不可欠です。
3.2 ハイタッチなマネージドサービス
AI を活用した攻撃は、かつてないスピードで発生しています。
新しい脆弱性が公開されてから、攻撃者が PoC(概念実証コード)公開後わずか 22 分で悪用を開始した事例が観測されています。
(出典:Cloudflare「State of Application Security 2024」)
これほど攻撃が高速化した状況では、「設定して放置」するだけのセキュリティツールでは不十分です。
3.2.1 大規模イベント時のリアルタイム監視
セキュリティの観点では、「大規模イベント」(製品ローンチ、チケット販売など)は、大規模な Bot 流入を前提に設計・運用すべきタイミングです。
確認すべきポイント:
イベント中にプロバイダーとの直接コミュニケーションチャネルがあるか
転売ヤーや悪意あるアクターがサイト防御をリアルタイムでリバースエンジニアリングする中、即座にブロックの調整や正規ユーザーのホワイトリスト登録ができるか
3.2.2 業界固有のビジネスロジック対応
画一的なポリシーでは、業界ごとに異なるトラフィックパターンに対応できません。
確認すべきポイント:
EC、旅行、製造業など、特定のビジネスロジックに合わせたカスタムポリシーの構築が可能か
ユーザー(および攻撃者)の行動に基づいたポリシー更新を積極的に提案してくれるか
3.2.3 CX(顧客体験)と誤検知対応
どのソリューションも 100%正確ではありません。正規ユーザーが誤ってブロックされると、CX 上の問題が発生します。
確認すべきポイント:
CX レベルでブロック理由の明確な自動通知を提供しているか
誤検知を迅速に処理するプロトコルがあるか
ポイント:ボット管理ソリューションを選定する際は、技術的な検知能力だけでなく、運用支援体制も重要な評価軸となります。
4. 基本的なセキュリティ衛生も重要
ボット対策は、基本的なセキュリティプラクティスを置き換えるものではありません。
対策 | 内容 |
|---|---|
従業員のセキュリティ意識向上 | 不審なメール、リンク、QR コードへの対応教育 |
オフラインバックアップ戦略 | 3-2-1 ルール(3 つのコピー、2 種類のメディア、1 つはオフサイト) |
定期的なパッチ管理 | OS・主要アプリケーションの最新セキュリティパッチ適用 |
これらはヒューマンエラーを減らし、ボットが悪用しようとする攻撃対象領域を縮小します。
まとめ
ランサムウェアリスクを低減する最もコスト効率の高い方法は、攻撃後の復旧ではなく、初期アクセスの防止です。
AI を活用したボットは、脆弱性を大規模に悪用することを可能にする主要な力となっています。ボットトラフィックを制御し、自動化された探索への露出を減らすことで、組織は以下のメリットを得られます。
攻撃対象領域の縮小
ランサムウェア実行リスクの低減
より安定したデジタルサービス
運用効率の向上
Bot 管理による予防的統制は、もはやオプションではなく、現代のサイバーセキュリティを設計するうえで、無視できない重要なレイヤーです。