エグゼクティブサマリー
2024年、根本的な転換が起こりました:10年ぶりに、自動化されたボットトラフィックがインターネット上の人間活動を上回ったのです。ボットは現在Webトラフィック全体の51%を生成し、人間ユーザーをオンライン上の少数派へと追いやりました。これは緩やかな動向ではなく、組織がWebトラフィック、インフラコスト、セキュリティ態勢について考える方法を再定義する閾値の越境です。
加速を駆動しているのは人工知能です。大規模言語モデルはボット作成を民主化し、最低限の技術スキルしか持たない攻撃者が高度な自動化を大規模に展開できるようにしました。AI駆動型ボットトラフィックは前年比300%急増し、悪質ボットは特に全トラフィックの32%から37%に成長し ― 6年連続の増加となりました。一方、OpenAI、Anthropic、MetaのAIトレーニングクローラーは前例のない量のWebコンテンツを消費しており、コンテンツ作成者とAIプラットフォームの関係を根本から変えています。
事業への影響は即時的かつ計測可能です。アカウント乗っ取り詐欺は2023年に130億ドルの損失をもたらしました。Webスクレイピングは影響を受ける事業の年間収益の最大14.7%を侵食します。サーバーが数百万件の不正リクエストを処理することでインフラコストが膨張します。セキュリティチームにとって、課題はもはや善良なトラフィックと悪意あるトラフィックを区別することではありません ― 正当な人間訪問者が本当に少数派である環境で運用することなのです。
2025年ボットランドスケープ:主要数値
Webトラフィック構成:2023年 vs 2024年
| トラフィック種別 | 2023年 | 2024年 | 変化 | 意味するところ |
|---|---|---|---|---|
| 人間トラフィック | 52.6% | 49% | -3.6% | 人間がWeb訪問者の少数派に |
| 悪質ボット | 32% | 37% | +5% | 6年連続の成長 |
| 善良ボット | 15.4% | 14% | -1.4% | 検索クローラー、監視サービスなど |
| 自動化合計 | 47.4% | 51% | +3.6% | 2024年に閾値を超える |
AI:ボット成長を支える力の乗数
人工知能は2つの明確な方法でボットランドスケープを変えました。第一に、生成AIとボット・アズ・ア・サービスプラットフォームがボット攻撃を起動する技術的障壁を取り除きました。かつて専門的なプログラミングスキルを要したものが、現在ではサブスクリプションと基本的なプロンプト能力だけで済むようになりました。結果:新たな、より洗練度の低い攻撃者が市場に参入し、単純なボット攻撃が全ボットトラフィックの40%から45%に増加しました。
第二に、AIはボットの有効性を劇的に向上させました。機械学習により、ボットは人間の行動パターンを模倣し、CAPTCHAを解き、防御策にリアルタイムで適応できるようになりました。高度なボットは現在攻撃の残り55%を占め、その高度化は続いています。ByteSpiderボット(TikTokの親会社ByteDanceに関連)だけで全AI対応攻撃の54%を担い、AppleBot(26%)、ClaudeBot(13%)、ChatGPT User Bot(6%)が続きます。
経済性は攻撃者に有利です。3年前であれば開発者チームを必要としたであろうボットインフラを、現在では単一の運用者が展開・管理できます。資格情報詰込み、転売、スクレイピング作戦の投資収益率はかつてないほど高く、これが防御技術の改善にもかかわらず容赦ない成長が続く理由を説明しています。
AIクローラー市場シェアの進化
| クローラー | 2024年7月 | 2025年7月 | 変化 | 主な目的 |
|---|---|---|---|---|
| Googlebot | 39% | 39% | — | 検索インデックス |
| GPTBot (OpenAI) | 4.7% | 11.7% | +7% | AIトレーニング |
| ClaudeBot (Anthropic) | 6.0% | 9.9% | +3.9% | AIトレーニング |
| Meta-ExternalAgent | 0.9% | 7.5% | +6.6% | AIトレーニング |
| Amazonbot | 10.2% | 5.9% | -4.3% | Alexa/AWSサービス |
| Bytespider (ByteDance) | 14.1% | 2.4% | -11.7% | AIトレーニング/TikTok |
AI企業は紹介トラフィックとして返すよりも遥かに多くのコンテンツを消費します。Anthropicのクローラーは、出版社に紹介する訪問者1件あたり38,000~286,000ページを訪問します。OpenAIの比率は約1,000:1です。この非対称性は、コンテンツ作成者がAIトレーニングのインフラコストを負担する一方、トラフィックの恩恵はわずかしか得られないことを意味します。Googleからニュースサイトへの紹介トラフィックは2025年1月から4月にかけて15%減少しました ― これは元の情報源へのクリックスルーを減らすAI生成検索サマリーの拡大と一致しています。
AIクローラーの目的別内訳
業界別ボットトラフィック分析
| 業界 | 悪質ボットトラフィック | 攻撃シェア | 主要攻撃種別 | リスクレベル |
|---|---|---|---|---|
| 旅行 | 48% | 27% | 運賃スクレイピング、偽予約 | 重大 |
| 小売 | 59% | 15% | 価格スクレイピング、転売 | 重大 |
| 金融サービス | 28% | 22% (ATO) | アカウント乗っ取り、詐欺 | 重大 |
| 通信・ISP | 24% | 18% (ATO) | アカウント乗っ取り | 高 |
| コンピューティング・IT | 22% | 17% (ATO) | 資格情報詰込み | 高 |
| ヘルスケア | 18% | 8% | データスクレイピング、詐欺 | 高 |
| ゲーム | 35% | 12% | チート、アカウント窃盗 | 高 |
旅行業界は2024年に劇的な転換を経験し、全ボット攻撃の27%(2023年の21%から上昇)を占める最も攻撃される業界となりました。旅行サイトへの全トラフィックの48%が悪意あるボットで構成され、人間訪問者はわずか47%、有益なボットは5%です。単純な攻撃は旅行を標的とするボット活動の34%から55%に急増し、新たに参入したより洗練度の低い攻撃者が業界を悪用していることを示しています。運賃スクレイピング、在庫の囲い込み、偽予約攻撃は売上と顧客体験に直接影響します。
悪質ボット攻撃の種類と事業への影響
サービス間でのパスワード使い回しを悪用し、盗まれたユーザー名・パスワードの組み合わせを循環試行する自動攻撃。アカウント乗っ取りインシデントは2024年に40%増加し、金融サービスが攻撃の22%を負担しています。経済的影響:2023年だけでATO詐欺損失は130億ドル、被害者1件あたり平均1万2,000ドル。AIと機械学習がリアルタイムCAPTCHA解決と行動模倣を可能にすることでこれらの攻撃を加速させました。
価格データ、製品情報、独自コンテンツを盗む自動コンテンツ抽出。動的価格設定を行う事業では、スクレイピングが需要シグナルを歪め競争優位性を侵食します。影響は年間ウェブサイト収益の14.7%に達し得ます。AIスクレイパーは2025年第2四半期だけで1億2,000万件超のリクエストを生成し、インフラに負荷をかけ高額な自動スケーリングイベントを引き起こしました。
人間の顧客よりも速く高需要商品を購入し、再販のための人為的な希少性を作り出すボット。2025年第2四半期、Labubuドール(人気フィギュア)のボット駆動再販は25~127%のマークアップを生み、わずか2つのクックグループが3,160件の自動チェックアウトを連携させました。小売業者にとって、転売攻撃は高需要商品のチェックアウトリクエストの40%超を占め ― 業界平均の4倍です。
高度なボットトラフィックの44%が現在、従来のWebインターフェースではなくAPIを標的としています。APIはしばしばWebアプリケーションと同レベルのボット保護を持たないため、魅力的な標的となります。金融サービス、ビジネスサービス、通信、ヘルスケアがAPI標的ボット攻撃の75%を占めます。API悪用は、伝統的なWeb中心の防御を回避しつつ大規模なデータ流出を可能にします。
購入を完了せずに商品をカートに追加し、正当な顧客が在庫を利用できないようにするボット。アプリケーションDDoS手法と組み合わせると、これらの攻撃は伝統的なDDoS防御を起動することなくEコマース運営を効果的に停止させ得ます。結果:失われた売上、苛立った顧客、損なわれたブランド評価。
企業向けボット防御フレームワーク
現代のボット攻撃に対する防御には、シグネチャベース検知を超える対応が必要です。AI駆動型ボットはリアルタイムで適応し、人間の行動を模倣し、家庭用プロキシを悪用して正当に見せかけます。有効な防御には、複数の検知手法と継続的な行動分析を組み合わせた多層アプローチが必要です。
行動分析の実装
マウスの動き、タイピングパターン、ナビゲーション行動を分析するMLベースの検知を導入します。静的ルールはシグネチャをランダム化するボットに対して失敗します。行動分析は、ボットが人間の属性をどれだけうまく模倣しても自動化を識別します。
主要攻撃対象領域としてのAPIを保護
高度なボットの44%がAPIを標的としています。API固有のレート制限、認証検証、異常検知を実装します。APIコールシーケンス、レスポンス消費、地理的分布における異常パターンを監視します。
デバイスフィンガープリンティングを導入
ブラウザ設定、インストール済みフォント、canvasレンダリング、WebGL特性を含むデバイス属性を収集・分析します。正当なユーザーは一貫したフィンガープリントを示します。ボットはしばしば不可能な、または急速に変化するデバイスプロファイルを示します。
疑わしいセッションにチャレンジ
リスクシグナルに基づいてエスカレートする適応型チャレンジを実装します。不可視チャレンジから始め、CAPTCHAへと進み、最終的に永続的な自動化を遮断します。現代のチャレンジはAI駆動型の解決能力に耐える必要があります。
家庭用プロキシ利用を監視
洗練されたボットは家庭用IPアドレスを経由してIPベースの遮断を回避します。接続行動分析、IPレピュテーションスコアリング、地理的一貫性チェックを通じて家庭用プロキシパターンを検知します。
トラフィックベースラインとアラートを確立
通常のトラフィックパターンを把握します。ボット攻撃はしばしば突然のトラフィック急増、通常と異なる地理的分布、または異常なコンバージョン率として現れます。リアルタイムアラートにより、重大な損害が発生する前の迅速な対応が可能になります。
TR7ボット管理機能
TR7のセキュリティプラットフォームは、ボット脅威の全範囲に対する包括的な保護を提供します:
AI駆動型検知
数十億件のリクエストで訓練された機械学習モデルが、AIで人間の行動を模倣するものを含む洗練されたボットと正当なユーザーを区別する。
高度なフィンガープリンティング
多層デバイスフィンガープリンティングが、ボットがブラウザ属性をスプーフィングし家庭用プロキシをローテーションしても自動化を識別する。
API保護
バックエンドサービスを標的とする自動悪用、レート制限違反、資格情報詰込み攻撃を検知・遮断する目的特化のAPIセキュリティ。
リアルタイム分析
トラフィック構成への包括的な可視性と、ボット活動が閾値を超えるか重要エンドポイントを標的とした場合の即時アラート。
適応型チャレンジ
正当なユーザーへの摩擦を最小化しつつ、自動化されたトラフィックには越えられない障壁を作るリスクベースのチャレンジシステム。
AIクローラー管理
AIトレーニングクローラーに対するきめ細かな制御。組織ポリシーに基づき、特定のボットを許可、レート制限、または遮断する能力。
51%の閾値は終点ではありません ― 変曲点です。AI能力が進歩するにつれ、正当・悪意のいずれのボットトラフィックも成長し続けます。組織は2年以内にボットがWebトラフィックの60%以上を占めることを想定すべきです。戦略的な対応は、すべての自動化を遮断することではなく ― それは可能でも望ましくもありません ― ボットが多数派であることを前提とし、人間の少数派を効果的に識別・提供するために最適化されたインフラとセキュリティモデルを構築することです。
よくある質問
善良ボットは正当な目的を果たします:コンテンツをインデックス化する検索エンジンクローラー、稼働状況を確認する監視サービス、認可されたデータを収集するアグリゲーター。通常自己を識別し、robots.txtを尊重し、透明に運用します。悪質ボットは悪意ある活動に従事します:資格情報詰込み、コンテンツスクレイピング、価格操作、詐欺。アイデンティティを隠蔽し、アクセス制限を無視し、検知を避けるため隠密に運用します。
APIは機密データや取引を扱うにもかかわらず、Webアプリケーションよりもセキュリティ上の注意を受けることが少ないことがあります。マシン間通信向けに設計されており、ボットトラフィックを正当な利用と区別することがより困難です。APIはまた、Webインターフェースをナビゲートせずに直接データアクセスを提供し、より高速かつ効率的なデータ抽出を可能にします。2024年、高度なボットトラフィックの44%がAPIを標的としました。
Googlebotのような従来の検索クローラーは検索結果を提供するためコンテンツをインデックス化し、紹介を通じて出版社にトラフィックを返します。GPTBotやClaudeBotのようなAIクローラーは主にモデルトレーニングのためコンテンツを消費し、トラフィック返還は最小限です ― Anthropicのクロール対紹介比率は38,000:1を超えます。これにより、AI企業がトラフィックを通じて出版社に補償することなくコンテンツから利益を得る価値抽出モデルが生まれます。
従来のCAPTCHAはますます効果を失っています。AI駆動型ボットは多くのCAPTCHAタイプを人間より速く解け、CAPTCHA解決サービスは大規模な自動化ソリューションを提供します。現代のボット防御には、単一ポイントの検証に依存するのではなく、リスクシグナルに基づいてエスカレートする行動分析、デバイスフィンガープリンティング、適応型チャレンジが必要です。
旅行(48%の悪質ボットトラフィック)、小売(59%)、金融サービス(ATO攻撃の22%)が最高のリスクに直面しています。ただし、価値あるデータ、ユーザーアカウント、またはEコマース機能を持つあらゆる組織が標的です。ボットツールの民主化により、小規模事業でも洗練された自動攻撃に直面します。
結論
インターネットは2024年に閾値を越えました。ボットは現在、人間よりも多くのトラフィックを生成しており、その差は広がります。この転換は本質的にネガティブではありません ― 自動化は検索インデックス化からセキュリティ監視まで、貴重なサービスを可能にします。課題は構成にあります:悪質ボットは6年連続で成長し、現在は全トラフィックの37%を占めます。AIは両方の動向を加速させ、より洗練された攻撃を可能にしつつ、防御能力も同時に向上させています。
企業セキュリティチームにとって、その意味は明確です。多数派の人間トラフィックを前提に構築されたトラフィックベースラインとセキュリティモデルは陳腐化しました。ボット検知はもはや二次的な懸念事項やチェックボックス機能ではいられません ― それは中核的な能力でなければなりません。繁栄する組織は、多数派ボットトラフィックを効率的に処理できるインフラを構築しつつ、人間の少数派を正確に識別し優先するものとなるでしょう。
もはや問いは、組織が重大なボットトラフィックに直面しているかではありません。直面しています。問いは、訪問者の49%(人間)と51%(非人間)を識別できるか ― そしてインフラ、セキュリティ態勢、ビジネスモデルがこの新たな現実のために設計されているか、です。
参考文献と情報源
ボットトラフィック統計、業界別内訳、攻撃動向の主要情報源。13兆件のブロックリクエストから得られたデータを分析する第12回年次レポート。https://www.imperva.com/resources/resource-library/reports/2025-bad-bot-report/
AIクローラー市場シェアデータ、クロール対紹介比率、トレーニング対検索クローラーの内訳の情報源。https://blog.cloudflare.com/crawlers-click-ai-bots-training/
AIボットトラフィック成長統計(前年比300%増)とAPI攻撃動向の情報源。https://www.akamai.com/security-research/the-state-of-the-internet
転売攻撃統計、AIスクレイパー量、小売業界への影響データの情報源。https://www.kasada.io/reports/q2-2025-bot-attack-trends/
ATO詐欺損失(130億ドル)、被害者1件あたりコスト(1万2,000ドル)、収益への影響統計のNetacea、DataDome、業界調査の情報源。
ボット多数派時代を守る
TR7のボット管理プラットフォームは、AI駆動型検知、行動分析、API保護を組み合わせて自動脅威を識別・緩和します。人間49%とボット51%をどう区別するかをご覧ください。
ボット保護を見る