全Webトラフィックの51%がbot。AIが支える「悪性bot」の進化と企業への影響

Impervaが2025年に発表した「Bad Bot Report」によると、世界のインターネットトラフィックにおいて、人間よりも自動化されたトラフィックが上回るという、歴史的な転換点が訪れました。2024年、全Webトラフィックの51%がbot(ボット)によるものとなり、うち37%が悪性botでした。

このbotの爆発的増加の背景には、生成AIと大規模言語モデル（LLM）の普及があります。AIの力により、従来は専門的知識が必要だったbotの開発が誰にでも可能になり、「攻撃者の民主化」が進んでいます。

全トラフィックの51%がBot

Impervaが2025年に発表した「Bad Bot Report」によると、世界のインターネットトラフィックにおいて、人間よりも自動化されたトラフィックが上回るという、歴史的な転換点が訪れました。2024年、全Webトラフィックの51%がbotによるものとなり、うち37%が悪性botでした。

このbotの爆発的増加の背景には、生成AIと大規模言語モデル（LLM）の普及があります。AIの力により、従来は専門的知識が必要だったbotの開発が誰にでも可能になり、「攻撃者の民主化」が進んでいます。

botの巧妙化とAPIへのシフト

特に注目すべきは、API（アプリケーション・プログラミング・インターフェース）を狙ったサイバー攻撃の増加です。2024年、高度なbotの44%がAPIを標的にしており、従来のWebアプリケーションではなく、業務ロジックに深く関わるAPIが攻撃の主戦場になっています。

APIは、クラウド化・SaaS化が進む企業の中核的インフラであり、ペイメント、ユーザー認証、データ処理など、あらゆる重要処理を担っています。攻撃者はAPIの業務ロジックの隙を突き、決済詐欺、アカウント乗っ取り、データ搾取を自動化しています。

攻撃手法の例

• スクレイピング（31%）：商品情報やユーザーデータの収集

• ペイメント詐欺（26%）：プロモーション悪用、決済不正

• アカウント乗っ取り（12%）：認証バイパスによる不正ログイン

• スキャルピング（11%）：高需要商品の買い占め

botはどこから来るのか：偽装と回避のテクニック

悪性botは、※住宅用プロキシやヘッドレスブラウザ、CAPTCHA回避、ポリモーフィック型といった手法を駆使し、従来のWAFやシグネチャベースの防御では見逃されやすい高度な振る舞いを見せます。

※住宅用プロキシ：実在する一般家庭のIPアドレスを利用したプロキシサーバーのことを指し、通常は、ISP（インターネットサービスプロバイダ）から発行されたIPアドレスが使われます。秘匿性が高くBotやDDoS攻撃の運用に悪用されます。

広く使用されているAI搭載ツールの多くがサイバー攻撃に悪用されている

Impervaの分析によると、現在広く使用されているAI搭載ツールの多くがサイバー攻撃に悪用されていることが分かりました。

• ByteSpider Bot：AIを利用した攻撃全体の54％を占める
• AppleBot：26％
• ClaudeBot：13％
• ChatGPT User Bot：6％

という結果でした。

ByteSpiderがAI駆動型攻撃で高い割合を占めている主な理由は、正規のウェブクローラーとして広く認識されているため、なりすましに利用されやすい点にあります。

サイバー犯罪者は、悪意あるbotを正規のクローラーに偽装することで、検知を回避し、ホワイトリストに登録されたクローラー向けのセキュリティ制限をすり抜けることが可能となります。

一方、AppleBot（26％）やClaudeBot（13％）の利用割合が比較的低いのは、より厳格なセキュリティ制御や、なりすましに適さない特性があるためと考えられます。

botによる被害の現実：マーケティングと収益の破壊

botの影響はセキュリティだけにとどまりません。マーケティング分野にも深刻なダメージを与えています。

例えば、あるグローバル人材企業は、広告に多額を投じたにも関わらず成果が出ず調査を行った結果、Webトラフィックの83%が悪性botによるものであったことが判明。キャンペーンの効果測定もROIも全く信頼できない状態に陥っていました。

Impervaのソリューションによりわずか4日でこれらのボットを遮断し、ようやく本来のパフォーマンスを回復。「マーケティング詐欺」としてのbot問題が浮き彫りとなっています。

業種別：bot攻撃の傾向と特徴

業種別：bot攻撃の傾向と特徴は以下で、最大予約数が限られる旅行や小売り業界では特にBotでのアクセスや攻撃が多くなっています。

旅行業界（全トラフィックの27%が悪性bot）

• 予約システムを標的にしたスキャルピングやL2B操作

• 他社の在庫情報を狙う情報スクレイピング

• 不正予約やキャンセル攻撃による顧客離脱

小売業界（15%）

• 人気商品の買い占め（スニーカーbot）

• 価格比較ツールによる過剰なAPIアクセス

• プロモーションコードの総当たり試行

教育業界（11%）

• 学術資料やeラーニング教材の不正コピー

• 試験問題・成績データのスクレイピング

• 攻撃の多くがシンプルな自動化スクリプト

金融・保険（9%）

• ログイン試行によるアカウント乗っ取り

• 取引記録や口座情報の収集・販売

• リスクベース認証のバイパス試行

製造・エネルギー・インフラ系（6%）

• IoT・スマートメーターのAPIに対するテスト型スキャン

• 技術情報の収集や業務停止を狙う攻撃の予備調査

まとめとBotへのセキュリティ対策

このレポートが示すように、悪性botの脅威は、単なるシステムの不具合や一時的な障害として片づけられるものではありません。botは企業のWebサイト、アプリケーション、インフラ、さらにはマーケティング活動に至るまで、事業全体に影響を及ぼす深刻なリスクとして捉える必要があります。

特に日本企業にとって重要なのは、「特定の機能だけを守ればよい」という考えから脱却し、全社的なリスク管理の一環としてbot対策を位置づけることです。

まず取り組むべきは、ユーザー認証の強化です。IDとパスワードの組み合わせだけでは、botによる不正ログインを防ぐことは困難です。顧客や社員が利用するポータルサイトや業務システムにおいては、多要素認証（MFA）を標準とし、ログインプロセスの安全性を高める必要があります。

また、企業内に点在する古いシステムやアプリケーションの見直しも欠かせません。これらのレガシー環境は更新頻度が低く、セキュリティパッチが適用されていないことも多いため、botの侵入口として狙われやすくなります。

システムの棚卸しを行い、脆弱な部分の洗い出しと対策を進めることが求められます。

さらに見落とされがちなのが、マーケティング活動への影響です。広告によって流入するトラフィックの中に悪性botが紛れ込んでいると、コンバージョン率（CVR）やアクセス解析の結果に大きな誤差が生じ、本来の効果測定ができなくなってしまいます。

広告運用やキャンペーンの最適化を行うには、信頼できるデータを確保するためにも、botを正確に検知・除外する仕組みが不可欠です。

こうした対応を進めるには、情報システム部門だけで完結するのではなく、セキュリティ、マーケティング、経営企画といった複数部門が連携して、botという課題に立ち向かう体制を整えることが重要です。

botは今や企業のあらゆる活動に影響を与え得る存在です。攻撃の巧妙化が進む中で、もはや一時的な対処では追いつかず、持続可能な対策体制の構築が企業の競争力を左右する時代になっています。

一部参照

https://www.imperva.com/resources/resource-library/reports/2025-bad-bot-report/