ボットトラフィックはWebサイトへの人間以外によるトラフィックです。 有益なボットトラフィックもありますが、悪意のあるボットトラフィックの場合は非常に破壊的になり得ます。
この記事を読み終えると、以下のことができるようになります。
関連コンテンツ
是非、Cloudflareが毎月お届けする「theNET」を購読して、インターネットで最も人気のある洞察をまとめた情報を入手してください!
記事のリンクをコピーする
ボットトラフィックとは、Webサイトまたはアプリへのノンヒューマントラフィック(人以外のトラフィック)のことを指します。ボットトラフィックという用語は、否定的な意味合いを持つことが多いですが、実のところボットトラフィック自体に善悪があるのではなく、その良し悪しは、ボットの目的によって決まります。
一部のボットは、検索エンジンやデジタルアシスタント(SiriやAlexaなど)といった便利なサービスに不可欠です。そうしたボットはほとんどの会社のサイトで歓迎されています。
たとえば、クレデンシャルスタッフィング攻撃、データスクレイピング、DDoS攻撃などの目的で使用されるボットは悪意のあるものである場合があります。無許可のWebクローラのようなやや悪性度の低い「悪性」ボットも、迷惑なものとなり得ます。これらはサイト分析を邪魔したり、クリック詐欺を行ったりするためです。
インターネットトラフィックの40%以上は、ボットトラフィックで構成されていて、その大部分は悪意のあるボットだと言われています。そのような理由で、多くの企業は各自のサイトへのボットトラフィックを管理する方法を模索しています。
Webエンジニアは、各自のサイトへのネットワークリクエストを直接見て、ボットトラフィックと思われるものを特定できます。Google AnalyticsやHeapといった統合型Web分析ツールは、ボットトラフィックを検出するのに役立ちます。
以下のようなデータ分析の異常値は、ボットトラフィックであることを示す危険信号です:
前述のように、不正なボットトラフィックは、ページ閲覧数、直帰率、セッション時間、ユーザーの位置情報、コンバージョン率といった分析指標に影響を与えることがあります。そうした指標の偏差は、サイト所有者にとって多大なフラストレーションになる場合があります。ボット活動で溢れかえっているサイトのパフォーマンスを測定することは非常に難しくなるためです。A/Bテストやコンバージョン率最適化といったサイトのパフォーマンスを向上させる試みも、ボットが原因で引き起こされる統計ノイズによって妨げられてしまいます。
Google Analyticsは、「既知のボットやスパイダーからのすべてのヒットを除外する」というオプションを提供しています(スパイダーはWebページをクロールする検索エンジンボットです)。ボットトラフィックのソースを特定できれば、ユーザーはGoogle Analyticが無視するべきIPの具体的なリストを提供することもできます。
こうした対策は一部のボットが分析を妨げるのを抑止しますが、すべてのボットを阻止することはできません。また、大部分の悪意のあるボットには、トラフィック分析を妨げること以上の不正な目的があるため、こうした対策は、分析データの保護以外、有害なボットアクティビティの軽減に対しては何の効果もありません。
大量のボットトラフィックの送信は攻撃者がDDoS攻撃を始める非常に一般的な方法です。一部のタイプのDDoS攻撃では、大量の攻撃トラフィックがWebサイトに向けられるため、配信元サーバーに過負荷がかかり、webサイトの表示速度が遅くなったり、あるいは正当なユーザーが利用できなくなる、といった状況が発生します。
一部のWebサイトは、パフォーマンスに影響がない場合でも、悪意のあるボットトラフィックによって金銭的損失を被る可能性があります。広告に依存するサイトや限られた在庫しか持たない商品販売サイトは特に脆弱です。
広告を配信するサイトの場合、サイトに到達してページのさまざまな要素をクリックするボットは、広告のクリックを偽装する可能性があります。これをクリック詐欺と呼んでいます。これにより、最初は広告収入の増加がみられますが、オンライン広告ネットワークはボットクリックの検出に優れています。Webサイトがクリック詐欺を行っていると疑いを持った場合、通常はサイトとその所有者のネットワーク使用を禁止するといった措置が講じられます。こうした理由から、広告をホストするWebサイトの所有者はボットのクリック詐欺に常に用心する必要があります。
在庫が限られているサイトは、在買い占めボットの標的になる場合があります。在買い占めボットは、その名が示すように、eコマースサイトを訪問してショッピングカートに大量の商品を入れることで、正当な買い物客がその商品を購入できないようにします。場合によっては、サプライヤーやメーカーから不要な在庫補充をしてしまうこともあります。在買い占めボットは、実際に購入することはなく、利用可能な在庫に混乱をきたすことのみを目的としています。
Webサイトへのボットトラフィックを抑止または管理するための第一歩は、robots.txtファイルを含めることです。これは、ページをクロールするボットへの指示を含むファイルであり、ボットがWebページを訪問したり操作したりするのを防ぐように設定できるものです。ただし、robots.txtのルールに従うのは良いボットのみであり、悪意のあるボットがWebサイトをクロールすることは防止できないことに留意する必要があります。
さまざまなツールが不正なボットトラフィックの軽減に役立ちます。レート制限(Rate Limiting)を用いたソリューションでは、単一のIPアドレスから発信されるボットトラフィックを検出して防止することはできますが、依然として多くの悪意のあるボットトラフィックを見落としてしまいます。レート制限に加えて、ネットワークエンジニアは、サイトのトラフィックを確認し、不審なネットワークリクエストを特定し、WAFのようなフィルター処理ツールを使用してブロックすべきIPアドレスの一覧を提供することができます。これは、非常に労力を要するプロセスであるにもかかわらず、一部の悪意のあるボットトラフィックしか阻止することができません。
レート制限やエンジニアによる直接的な介入とは別に、悪意のあるボットトラフィックを阻止する最も簡単で効果的な方法は、ボット管理ソリューションを使用することです。ボット管理ソリューションは、インテリジェンスと行動分析を活用して、悪意のあるボットがWebサイトに到達する前にこれを阻止することができます。たとえば、Cloudflare Bot Managementは、数百万のインターネットプロパティからのインテリジェンスと機械学習を使用して、ボットの悪用を積極的に特定して阻止します。小規模な組織でもボットトラフィックの可視化と制御が可能なSuper Bot Fight Modeは、ProプランとBusinessプランでご利用いただけます。