Blog
Web サイト運用・セキュリティ対策
ウェブサイトとデータを保護ボットをブロックすべき8つの理由

ウェブサイトとデータを保護ボットをブロックすべき8つの理由

サニャ・トライチェワ

Web サイト運用・セキュリティ対策 | 2023年8月02日

貴社のウェブサイトでボット対策をする必要があるか考えたことありますか？この記事を見ているということは、多少なりとも疑問がよぎったことがあるのでしょう。

現在、オンラインのトラフィックの約半分がボットによるものだと言われています。「良い」ボットや「悪い」ボットを含め、多くのボットがいろいろなウェブサイトへアクセスを行っています。検索エンジンがウェブサイトをインデックス化するために使用しているウェブクローラーのような無害なものもありますが、警戒が必要なボットも存在します。

「悪い」ボットは、マーケティング担当者やウェブサイトのオーナーにとって、深刻な問題となっています。これらのボットは、不要なトラフィックを引き起こし、ウェブサイトの規模に関わらず、サイトのセキュリティに悪影響を及ぼします。「悪い」ボットによって引き起こされる被害が発生し始めていることで、多くの企業がこの問題に対して今まで以上に注視しています。これらのボットは、ハッキング、スパム攻撃、情報不正取得、さらにはウェブサイトに含まれる機密情報への不正アクセスや漏洩にも関与しています。

これらの点を考慮すると、「良い」ボットと「悪い」ボットを判別し、自社のウェブサイトをを正しく保護する方法を学ぶことが非常に重要です。

この記事ではウェブサイトでボット対策をすべき理由と方法を詳しく説明します。

なぜボットをブロックする必要があるのか？

ボットをブロックする方法の説明に移る前に、それらがもたらす被害を十分に理解することが大切です。

「悪い」ボットによるハッキング、スパム攻撃、あるいは情報不正取得の結果として生じる潜在的な被害を考えてみましょう。このようなボットの攻撃は、ブランドの評判の毀損、データへの不正アクセスや漏洩、金銭的な損失、そして顧客の信頼の喪失を引き起こすリスクがあります。

「悪い」ボットとリスクに関しては、こちらの記事（英文）で詳しく解説しています。

「悪い」ボットをブロックすることが、貴社のビジネスの潜在的な利益に繋がります。ボットをブロックする代表的な8つのメリットについて説明します。

1.ブランドの評判を守る

「悪い」ボットはスパムの送信やネガティブなレビューの投稿、不正確な情報の拡散を行い、ユーザーを混乱させるおそれがあります。それらのボットは、貴社の代表や従業員の振りをして、フェイクニュースや実在しないキャンペーンを投稿することがあり、その結果、顧客の信頼やブランドの評判を損なうリスクがあります。

そのため、「悪い」ボットをブロックすることで、オンラインでのブランドの存在感や顧客が貴社に対して持っている印象や評判を守ることができます。

2.より良いユーザー体験を維持

ボットによるトラフィックの急増は、ウェブサイトの読み込み速度を著しく遅くさせたり、場合によってはサイトをクラッシュさせることもあります。増加したボットの活動がウェブサイトのサーバーに過度な負荷をかけるため、結果として読み込み速度が低下が起きてしまいます。

読み込みの遅延やクラッシュが発生すると、ユーザーがサイトの閲覧をスムーズに行うことができなくなり、サイトを途中で離脱する可能性が高まります。

3.サイトパフォーマンスの向上

ページの読み込み速度が悪化はユーザー離れの原因になることがあります。しかし、それと同時にユーザーの直帰率にも気をつけなくてはいけません。ユーザーの直帰率の上昇はサイトのパフォーマンスを悪化させる要因となります。

直帰率が高くなるとウェブサイトでのユーザーの平均滞在時間が短くなりますが、平均滞在時間が短いウェブサイトは質の低いコンテンツを提供しているサイトであると判断されるリスクが高まります。しかし、直帰率の上昇はページの読み込みの遅さだけに起因するわけではありません。ボットがウェブサイトにアクセスする場合、必要な情報のみを取得して離脱を行うため、ウェブサイトやページでの滞在時間が非常に短くなります。その結果、ボットによるアクセスの増加に伴い、直帰率の上昇を引き起こす可能性があります。

4.競合の一歩先

競合他社は、貴社のコンテンツや製品、サービスに関する情報をスクレイピングするためにボットを利用することがあります。

たとえば、製品の詳細、仕様、キャンペーンなどの情報をボットを使用して取得することができます。競合他社がこれらの情報を手に入れれば、簡単に自社の提供内容を調整し、不正な競争優位を獲得することができます。

しかし、これらの「悪い」ボットをタイムリーにブロックできれば、競合他社がこれらの情報にアクセスし、顧客を奪うのを防ぐことができるでしょう。

5.コンプライアンスの厳守

「悪い」ボットは、貴社のウェブサイトだけでなく、顧客にもリスクをもたらします。これらのボットは、ログイン情報や銀行の情報などを含む機密情報へ不正にアクセスする可能性があり、ユーザーのオンラインプライバシーを侵害するおそれがあります。

規制当局はこの問題を非常に重要視し、個人のサイバーセキュリティを保護するためのデータ保護フレームワークを確立しています。

たとえば、2020年には British Airways（ブリティッシュ・エアウェイズ）が40万人以上の顧客のデータ漏洩により2,600万ドルの罰金を科されました。ハッカーはブリティッシュ・エアウェイズのウェブサイトへ不正アクセスを行い、顧客の氏名、メールアドレス、クレジットカード情報を盗みました。

これらの規制を順守し、重い罰金を回避するためには、最初のステップとして「悪い」ボットをウェブサイトから遠ざける必要があります。これにより、顧客のセキュリティを守る姿勢を示すことにもなります。

6.本物のトラフィックのみを対象

「悪い」ボットのアクセスが増えると、ウェブサイトの分析結果に不要なデータが混ざってしまい、パフォーマンスを正確に評価し、適切なビジネス判断を下すことが難しくなります。これらのボットをブロックすることで、分析結果が実際のトラフィックのみから成り立つようになります。

たとえば、アナリティクスでウェブサイトの訪問者の中で興味を示しているものの購入に至らないグループが見受けられたとします。彼らに共通した行動パターンが見られた場合、何か調整を行えば、彼らを購買に導けるかもしれないと考えるかもしれません。

しかし、その多くが「悪い」ボットだった場合、実際の訪問者ではなくボットに対してウェブサイトの最適化を行ってしまうこととなります。

タイムリーにボットをブロックすることができれば、誤った数値に左右されることなく、ボット以外の実際のトラフィックに基づいたマーケティング戦略を策定することができます。

7.売上の増加

実際のトラフィックのみを受け付けることにより、より多くの本物のユーザーを引き寄せ、そのユーザーが顧客になる可能性を高めます。

ウェブサイトが速度低下やユーザーエクスペリエンスの損失を引き起こす「悪い」ボットをブロックできている場合、製品やサービスに興味を持つ訪問者が購入に至る確率が高くなります。

8.コスト削減

ボットはサーバーリソースや帯域幅を消費するため、ホスティングコストが増加することがあります。ボットをブロックすることで、リソースの最適な割り当てが可能となり、ホスティング費用の削減が期待できます。

さらに、ボットによるトラフィックが生成する無効なデータの分析を行わなくてもよくなるので、あなたとチームはその時間を節約できます。その結果、信頼性の低いデータに基づいたキャンペーンの最適化に貴重な時間と資源を浪費することなく、正しいデータにもとづいたマーケティング戦略にその分の時間や資源を投入することができるようになり、時間を節約しつつ効率よく質の高い分析とアウトプットが提示できます。

ボットの流入を示すサイン

ボットの流入を見つけるのは簡単なことではありませんが、いくつかのサインがあります。これらのサインに気付いた場合、ボットをブロックするための対策を検討する時が来ているかもしれません。

ボットの流入を示唆するいくつかのサインとして、下記4つがあげられます。

ブログや他のページに不適切なコメントがある

ウェブサイト上で、フィッシング詐欺を連想させるスパムのようなコメントを見かけたことはありますか？例えば、記事と関連性がないコメントや話題から逸脱しているコメントはスパムの可能性が高いです。

訪問者の性質を示す別のサインは、彼らのユーザー名やメールアドレスです。ただし、クラッカー*1 はこれを理解しており、普通に見えるメールアドレスや名前を使用している場合もあるため、常に当てはまるわけではありません。しかし、Heather@mta7.pltn13.pbi.ne やformer1@mail.kmsp.comのような見慣れない形式のメールアドレスからのコメントを見つけた場合、それはボットの活動を示す明確なサインです。

アクセスが急増している

Googleアナリティクスの指標を定期的に監視することで、「悪い」ボットの存在に早期に気づくことができます。これらのボットは通常、実在するユーザーとは異なる行動パターンをとっています。

一つ特徴は、サイト滞在時間が短く、直帰率が高いことです。なぜなら、ボットは通常、特定の処理を行うために動いており、人間と同じようにウェブサイトを周回することが少ないからです。さらに、人間のユーザーとは異なり、ボットは通常、1つのセッションで限られたページしか閲覧しない傾向があります。

「悪い」ボットのトラフィックにおけるもう一つの特徴は、訪問のタイミングです。ボットは通常、特定の時間帯を狙って大量にウェブサイトにアクセスします。この不規則なトラフィックパターンは警戒すべきサインです。さらに、通常は訪問や売上が発生しない地域からのトラフィックや、同じIPアドレスからのアクセスにも注意が必要です。

まとめると、以下のような異常な指標がボットをブロックするべきサインとなります：

通常よりも高いアクセス数
高い直帰率
通常と異なる時間帯の大量のアクセス
通常は発生しない地域からのアクセス
一つのチャンネルからの大量のセッションやユーザー
同じIPアドレスからのアクセスの急増

偽装されたリード

スパムと思われるメールアドレスからのリードやフォームの送信の急増には注意が必要です。ボットは偽の情報でフォームを記入し、偽のメールアドレスを使用することがあるため、ウェブサイトから生成されるリードは、ボットの活動を示すサインとなることがあります。

また、短期間で大量の新しいリード発生も、ウェブサイト上のボットボットの活動を示すサインの1つとなるケースがあります。

ユーザーの異常な行動パターン

ボットは、特定の経路をたどったり、決まったリンクをクリックする、繰り返しの行動をとるなど、その動きに一貫したパターンを見せることがよくあります。

人間の訪問者とは異なる異常な動きを検出するための効果的な方法の一つは、マウスの動きを分析することです。ボットは通常、直線的で速く、無駄のない動きを示します。一方、人間はより曲線的で規則性のない動きをする傾向があります。

また、ボットは一瞬でフォームに入力し、送信するのを自動的に行うため、短時間で多くのフォームを送信することは珍しくありません。

さらに、特定のボタンを繰り返しクリックしたり、ログインに失敗したりする回数が多い場合も、ボットの活動のサインとなります。

ウェブサイトからボットをブロックする方法

ウェブサイトへのボットのアクセスを防ぐための手法は多数存在します。その中で一般的な手法を以下に紹介します：

CAPTCHA

CAPTCHA（Completely Automated Public Turing tests to tell Computers and Humans Apart）は、利用者が人間かボットかを判定するための認証方式です。この認証に対する回答に基づいて、ウェブサイト上でのアカウントの登録、フォームの送信、ページ上の特定のエリアへのアクセスをボットから防ぐことが可能です。

近年の技術の進歩により、クラッカーが使用するボットの中にはCAPTCHAを回避するボットも存在します。それらの新しいボットをブロックするために、音声CAPTCHA、数学的なCAPTCHA、ReCaptchaなどの進化したCAPTCHA形式の導入を検討してみてください。

IPブロッキング

IPブロッキングは、ボットをそのIPアドレスに基づいてブロックする手法です。ウェブサイトを標的にしているボットのIPアドレスを知っている場合や、アナリティクスで疑わしいIPアドレスを見つけた場合、この方法は効果的です。

ただし、IPアドレスは簡単に変更できることに注意が必要です。そのため、この手法が必ずしも万全であるわけではないことを覚えておいてください。

HTTPヘッダー

HTTPヘッダーは、クライアント（またはブラウザ）とサーバー間で情報を伝達するためのコードです。基本的に、これはサーバーとブラウザの間で双方向に通信をつなぐ役割を果たしています。

そのため、HTTPヘッダーはウェブサイトの保護において重要な役割を果たし、ウェブサイトへのアクセスを制御するために使用できます。たとえば、HTTPヘッダーを使用して、ウェブサイト内の特定のファイルやディレクトリへのボットのアクセスをブロックすることができます。

レート制限の設定

ウェブサイト上の特定のアクション、例えばログイン試行やフォームの送信などに対して、レート制限を適用することでボットからの過度なリクエストを防ぐことができます。

ボット管理ソリューション

CHEQを含むボット管理ソリューションは、ユーザーの振る舞いや疑わしいIPアドレス、ブラウザのフィンガープリントを分析するなど、多様な手法を融合してボットを識別し、ブロックする機能を持っています。上記であげた4つの手法に加えて、サードパーティ製のボット検出サービスを採用することを使用するとボットを防ぐのに有効です。