ボット対策の基本：ビジネスに悪影響を与えずにサイトを守る方法

この記事で学べること

• ボット対策の仕組みと一般的なアプローチ
• ビジネスに悪影響を与えずにサイトを保護する方法
• ボットがもたらす問題と、ボット対策による効果
• さまざまな業界におけるボット対策のメリット
• 最も一般的なボット攻撃の種類
• ボット対策ベンダーを選ぶ際のチェックポイント

ボットは長い間、私たちの生活の一部となってきました。検索エンジンの検索結果を向上させるクローラーもいれば、マルウェアやフィッシングを拡散するスパムボットも存在します。では、良いボットと悪いボットをどのように見分ければよいのでしょうか。

ここで重要になるのがボット対策です。ボット対策ソリューションは、サイト上のボットの動きを識別・分析し、疑わしい行動を検知してリアルタイムで保護を実行します。このようなソリューションはかつてないほど重要になっています。CHEQが発表した「The State of Fake Traffic 2024」（英文）によると、2023年に監視されたトラフィック全体の17.9%が不正なトラフィックであり、2022年の11.3%と比較して58%の増加となっています。

効果的なボット対策により、組織は正当な自動化の恩恵を受けつつ、悪意あるアクセスを防ぐことができます。しかし、市場にはさまざまなツールが存在する中、何を優先すべきなのでしょうか。

ボット対策のプロセス

ボット対策とは、ウェブサイトやモバイルアプリにアクセスしようとする有害なボットトラフィックを検知し、ブロックすることです。悪意あるボットを検知して脅威としてラベル付けし、正規のユーザーや有益な自動化エージェントを邪魔することなく、悪意のあるボットだけを排除して被害を防ぐことが目的です。

ツールによって具体的なアプローチは異なりますが、効果的なソリューションは「検知 → リスク評価 → 対応」という3段階の処理の流れで構築されるべきです。

• 検知：まずボットアクティビティを検知することが不可欠です。CHEQでは、Webおよびモバイルのさまざまなボットトラフィックを検知するために、トラフィック整合性分析、ユーザー入力検証、IDインテリジェンスに焦点を当てています。
• リスク評価：疑わしいまたは悪意のあるボットやアクセスが特定された後、そのリスクと潜在的な影響を評価し、適切な対応を決定します。
• 対応：ボットが検出された場合、レート制限やプログレッシブチャレンジから完全なブロックまで、さまざまな問題に対応するためのツールを提供する必要があります。

以下は、現代のボット対策を支える「検知 → リスク評価 → 対応」の簡単なフロー図です。

もちろん、すべてのボットが「悪い」わけではないことを認識することが重要です。ボットは正当な自動化を行っている場合もあります。たとえば、商品やサービスに関心を持つ正規のユーザーである可能性があります。あるいは、検索エンジンがウェブページを識別しランク付けするのを助けるクローラーであり、最終的にはビジネスの認知度を高めるものかもしれません。

CHEQの最高マーケティング責任者であるAmy Holtzmanは、「有害なボットは常にブロックすべきです。しかし、『有害』の線引きは必ずしも明確ではありません」と述べています。

そのため、まず検知から始まる包括的なソリューションが求められます。高度なシグナルを活用して疑わしいボットを検知し、次にリスク評価を行い適切な対応を決定します。最後に、対応と修復のプロセスに移行し、正当なユーザーや有益な自動化へのアクセスを維持しながら、悪意あるボットをシステムからブロックします。

では、これは実際にどのように機能するのでしょうか。まず、ボットが引き起こす問題について見ていきましょう。

ボット対策が解決する問題

ボット対策は、ボットや偽ユーザーがウェブサイトやプラットフォームにアクセスした際に引き起こす問題を解決します。以下は、悪意あるボットによって引き起こされる一般的な問題と、それに伴うビジネスへの影響です。

• アカウント乗っ取り（ATO）：これは、犯罪者がオンライン上のビジネスアカウントや個人アカウントを乗っ取るサイバー犯罪（英文）の一種です。悪意あるボットは、クレデンシャルスタッフィング（漏洩した認証情報を使い回してログインを試みる手法）などを通じてこれらの攻撃を実行します。ビジネスへの影響：不正による損失、アカウントロックアウト、規制違反リスク、カスタマーサポートの負担増加。
• カーディング：犯罪者が盗まれたクレジットカードやギフトカードの情報を決済ポータルで使用する（英文）手口です。ボットがカード情報を自動的に入力して使用可能なものを特定し、不正購入や在庫の問題などを引き起こします。ビジネスへの影響：チャージバック、決済サービスからのリスク警告、在庫の歪み、財務損失。
• スクレイピング：データや情報を自動的に収集するボットです。攻撃者はこれを利用して価格情報、コンテンツ、商品リスト、独自データを抽出し、知的財産を盗む可能性があります。ビジネスへの影響：知的財産の窃盗、競争情報の流出、市場での価格操作。
• 在庫の買い占め：ボットを使って特定の商品を大量にオンラインショッピングカートに追加し、人為的な品薄状態を引き起こします。これにより、チェックアウトの不正利用、在庫の可用性低下、顧客のフラストレーションが生じます。ビジネスへの影響：収益損失、誤った在庫状態、ブランド信頼の低下。
• アナリティクスの歪み：マーケティングアナリティクスには、特定の商品やサービスへの本物の関心を示すなど、実際の顧客に関する情報を反映してほしいものです。しかし、悪意あるボットによってこのデータが歪められる（英文）可能性があり、今後の最適化やレポートの正確性に悪影響を及ぼします。ビジネスへの影響：広告費の浪費、アトリビューションの歪み、誤った意思決定。
• DDoS攻撃の増幅：ボットがDDoS攻撃に使用され、標的に対して大量のメッセージやサーバーリクエストを同時に送信します。これにより標的が過負荷状態となり、ウェブサイトやサービスの速度低下やクラッシュを引き起こす可能性があります。ビジネスへの影響：サービス停止、遅延、インフラコストの増加、業務中断。

なお、従来型のボット対策では、広告プラットフォーム、アフィリエイトパートナーシップ、その他の外部パートナーなど、組織の自社チャネル外で発生する脅威に対応できない場合があります。

これらの問題に対処するためには、最新のGo-to-Marketボット管理プラットフォームが必要です。CHEQは、広告およびアフィリエイト投資を保護する専門ソリューションCHEQ Acquisitionを提供しています。

ボット対策の仕組み

ボット対策は、いくつかの重要な要素に基づく包括的な検出パイプラインに依存しています。

まず、テレメトリー収集により、悪意あるボットを人間のインタラクションや「良い」ボットトラフィックから分離するために必要なデータを提供します。次に、特徴量抽出が生のテレメトリーを意味のある属性（タイミングシグナル、ヘッダー値、環境フィンガープリント、行動パターンなど）に変換し、人間とボットの区別を支援します。

その後、悪意あるボットを識別するための高度な手法が適用されます。たとえば、デバイスフィンガープリンティングによるユーザー認証を通じて、不正アクセスの試みがあったかどうかを判断できます。また、IPやプロキシの相関分析により、巧妙な攻撃や協調攻撃を検出することも可能です。

次にリスクレベルの判定が行われ、アクセスを許可した場合の潜在的な影響を評価し、取るべき対応の指針とします。最終的に対応の段階に移行し、ソースIPによるブロック、チャレンジの適用、疑わしいトラフィックのリダイレクト、レート制限、高リスク行動に対するハードブロックなどの手段でボットをサイトからブロックします。

重要なのは、効果的なボット対策システムは収集したデータを活用し、モデルの再トレーニング、しきい値の調整、新たなボットパターンへの適応を行う継続的なフィードバックループを通じて、サービスを継続的に改善するということです。

CHEQでは、弱点の分析と主要なシグナルファミリーの保護に基づいたアプローチを採用しています。具体的には以下のような手法があります。

• クライアント技術：JavaScriptの関数呼び出しを通じてアクセス可能なクライアントマシンの属性を分析します。自動化ブラウザやマルウェアの痕跡などの明示的な属性、または自動化されたWebドライバーを示す暗黙的な属性を検出します。
• HTTP技術：既知の悪意あるIPなど、異常なヘッダーの観察を行います。
• TCP技術：ユーザーエージェント（UA）のスプーフィングを検出するフィンガープリンティング技術です。UAスプーフィングは、デバイスの偽装や実際の位置情報の隠蔽に使用される可能性があります（英文）。
• DNS/STUN技術：プロキシを通じてボットトラフィックをルーティングするコマンド＆コントロール（C&C）センターの実際のIPアドレスを検出したり、DNS解決動作の不整合を明らかにするために使用されます。
• ネットワーク行動分析：時系列の異常に基づいて協調攻撃を検出します。たとえば、「Y回のトランザクションの後、X秒ごとにトランザクションを実行する」IPアドレスにフラグを立てるルールなどがあります。
• ユーザー行動分析：マウスの動き、クリックパターン、アクション間の時間などのシグナルを使用して、行動が実際のユーザーによるものか、正当なものかを予測するアルゴリズムの一群です。
• データモデル：CHEQは、ディープラーニング（リカレントニューラルネットワークなど）、機械学習分類器、レピュテーションベースのモデリングを使用して、脅威の検知、リスク評価、大規模な防御を実現しています。

もちろん、正当なユーザー（検索エンジンやLLMクローラーなどの正当な自動化を含む）に対する誤検知を抑え、アクセスを維持することが不可欠です。CHEQは、不必要な摩擦を回避するために、マルチシグナル相関とリスクしきい値を活用しています。

ボット対策が効果を発揮するビジネスの種類

デジタルインタラクション、オンライン取引、ユーザーアカウント、またはリアルタイムの在庫管理に依存するすべてのビジネスが、自動化された脅威に対して脆弱です。デジタルエンゲージメントに依存するビジネスは、少量の悪意ある自動化でも収益、顧客体験、アナリティクスを歪める可能性があるため、効果的なボット対策から最も大きな恩恵を受けることが多いです。

ボット対策は、高価値のユーザーアクション（ログイン、チェックアウト、フォーム送信など）を持つ組織や、自動化が不当または有害な優位性を提供する可能性のある環境において特に価値を発揮します。

主な対象ビジネス

幅広いビジネスがボット対策の恩恵を受ける可能性があります。たとえば以下のような業種です。

• Eコマース：ボット対策は、収益損失、コンバージョン率の低下、チェックアウトの不正利用、在庫の買い占め、アナリティクスの歪曲につながる悪意あるアクティビティからオンラインストアを保護することで、大きなメリットをもたらします。
• 金融サービス：非常に機密性の高いデータを扱い、詐欺や窃盗のリスクが高いため、クレデンシャルスタッフィング、ATO、カードテスト攻撃を実行する悪意あるボットの標的になりやすい業種です。
• 広告・マーケティング：ボットの主要な危険の一つは、広告予算やアナリティクスへの影響です。たとえば、PPC（クリック課金）キャンペーンの予算を消耗させたり、ファネル上流のアナリティクスを歪めたりすることがあります。ボット対策により、トラフィック品質とアトリビューションの正確性が向上し、キャンペーンが自動化ノイズではなく実際のユーザーに基づいて最適化されるようになります。
• ホスピタリティ：限定チケットや予約枠を標的とした買い占め攻撃に対して特に脆弱な業種です。

自己診断チェックリスト

ボット対策が必要かどうかを判断するためのチェックリストです。以下の項目に該当するビジネスの場合、ボット対策を検討することが特に重要です。

• アカウントログイン機能がある
• アカウント作成機能がある
• ギフトカードやクーポンを提供している
• 限定在庫の販売を行っている
• 価格に敏感な商品を扱っている
• APIを公開している
• アフィリエイトプログラムを運営している

最も一般的なボット攻撃の種類

ボットトラフィックは必ずしも悪いものではなく、実際には潜在的な顧客を含む場合もあります。しかし、ウェブサイトやサービスに影響を及ぼし得る重大な危険や攻撃が多数存在します。主要な攻撃タイプを理解することで、セキュリティチームが各脅威に適切な対策を講じることができます。

これらリスクは、適切なテクノロジーを活用することで対処が可能です。組織は悪意ある自動化を検出、分類、ブロックし、「グレーゾーン」にあるものについては、サイトへのアクセスを許可するかどうかを判断する前に調査を行うことができます。これらの攻撃カテゴリを認識することは、セキュリティチームが各脅威を適切な対策に結びつけるためにも役立ちます。

最も一般的なボット対策戦略

悪意あるボットの検出と対策において、単一のシグナルで完全な判断を下すことはできません。ベンダーは、脅威の性質と必要な対応を判断するために、異なるレイヤーにまたがるマルチシグナル相関に依存しています。この相関分析により、誤検知を減らし、WebおよびモバイルのAI環境全体での精度を向上させることができます。

CHEQでは、これを3つの検出レイヤーに分けています。トラフィック整合性分析、ユーザー入力検証、IDインテリジェンスの3つです。これらのレイヤーをWebとモバイルの両方で組み合わせることで、ヘッドレスブラウザ、使い捨て/一時的なメールアドレス、あり得ない移動（地理的に離れた場所でのアクティビティが短時間で発生する現象）など、さまざまなシグナルにまたがる攻撃を特定します。

証拠がボットアクティビティを示す場合、リスクと確信度に応じて複数のエンフォースメントオプションが利用可能です。たとえば、ボットのみに表示され人間には見えない隠しフォームやフィールドである「ハニーポット」にボットをリダイレクトしてフォームを保護できます。ボットがフォームに入力した場合、その送信をフィルタリングすべきであることがわかります（または、そのデータを使用してボットについて詳しく調査することもできます）。

また、レート制限（特定のアクションを一定の時間内に実行できる回数を制限する方法）を適用したり、ハードブロックにエスカレートしたりすることもできます。その他のエンフォースメントオプションには、ソフトブロック、タールピッティング（セッションの速度低下）、チャレンジルーティング（CAPTCHAまたはJSチャレンジ）、高リスクセッションに対する代替コンテンツの配信などがあります。正当なユーザーと正当なAIエージェントが不必要な摩擦に巻き込まれないよう、積極的なエンフォースメントフローから確実に除外することが重要です。プログレッシブエンフォースメント（リスクが高まるにつれて摩擦を段階的に増やす方式）は、誤検知の制御に効果的です。

選択する対応策は、分類の確信度と、ポリシーおよびリスクしきい値によって決定されるインタラクションを許可した場合のリスクによって異なります。

ボット対策ベンダーを選ぶ際のポイント

最新のボット対策プラットフォームは、確定的な検出と高確度な分類により悪意ある自動化を識別し、ポリシーに基づくエンフォースメントにより、正当なユーザーへの影響を最小限に抑えながら機密性の高いフローを保護します。

優れたボット対策ベンダーは、以下の点を明確に説明できるべきです。

• どのシグナルが分類判断の根拠となったか
• なぜそのインタラクションが許可、チャレンジ、レート制限、またはブロックされたのか
• エンフォースメントポリシーがセキュリティ、ビジネスリスク、ユーザーエクスペリエンスをどのようにバランスさせているか

この透明性は、CHEQの重要な差別化要因の一つです。

効果的なプラットフォームは、検出カバレッジ、エンフォースメントの結果、レイテンシーへの影響、誤検知率に関する可視性を提供し、チームが判断を検証し、攻撃パターンの進化に応じて継続的に保護を調整できるようにします。

精度に加えて、デプロイメントの柔軟性（WAFやCDNとの統合、エッジまたはオリジンでのデプロイメントモデル、モバイルSDKのサポートなど）、および人間のユーザー、正当な自動化、AIエージェント、悪意あるボットが混在するトラフィック環境に対応するベンダーの能力も評価すべきです。

導入検討チェックリスト

• 精度：デバイス、ネットワーク、行動にまたがるマルチシグナル相関。
• カバレッジ：高リスクフロー全体にわたるWebおよびモバイルアプリトラフィックの保護。
• レイテンシー：ページ速度と顧客体験への影響を最小限に抑制。
• 透明性：シグナルとエンフォースメント判断の明確な説明。
• 誤検知制御：正当なユーザーへの摩擦を最小化するためのツールとしきい値。
• デプロイメントの柔軟性：エッジ/オリジンデプロイメント、WAF/CDN、モバイルSDKのサポート。
• 混合トラフィックへの対応力：人間のユーザー、正当なAIエージェント、悪意あるボットを区別し、適切に対応する能力。
• 関連するユースケース：同じ業界や類似の企業と取引実績があるか？自社が直面している課題と同様の問題を解決しているか？

まとめ

特にAI駆動のトラフィックが増加する時代において、ボットがなくなることはありません。そのため、良いボットと悪いボットを見分け、その中間にあるものを慎重に評価することが重要です。CHEQでは、説明可能性と粒度の適切なバランスを取ることが不可欠だと考えています。ユーザーは、なぜそのセッションが悪意のあるものとして分類されたのかを明確に理解できる、適切なデータに基づいたインサイトを必要としています。

これはすべてのボットを阻止することではありません。むしろ、全体像を明らかにすることです。サイトに何を受け入れるべきか、何を防止すべきかを見極め、その目標を達成するためのツールを手に入れることが重要なのです。

ボット対策について詳しく知りたい方は、無料セキュリティ診断をお試しください。CHEQが悪意あるボットの危険からビジネスを保護しながら、正当な人間のインタラクションと有益なボットの恩恵を享受できるようサポートいたします。