ボットトラフィックとは? | ボットトラフィックを止める方法

ボットトラフィックはWebサイトへの人間以外によるトラフィックです。 有益なボットトラフィックもありますが、悪意のあるボットトラフィックの場合は非常に破壊的になり得ます。

Share facebook icon linkedin icon twitter icon email icon

ボットトラフィック

学習目的

この記事を読み終えると、以下のことができます。

  • ボットトラフィックを定義する
  • ボットトラフィックを識別する方法を理解する
  • 悪意のあるボットがもたらす悪影響を概説する
  • ボットトラフィックを止める方法を学習する

ボットトラフィックとは?

ボットトラフィックとは、Webサイトまたはアプリへのノンヒューマントラフィック(人以外のトラフィック)のことを指します。ボットトラフィックという用語は、否定的な意味合いを持つことが多いですが、実のところボットトラフィック自体に善悪があるのではなく、その良し悪しは、ボットの目的によって決まります。

一部のボットは、検索エンジンやデジタルアシスタント(SiriやAlexaなど)といった便利なサービスに不可欠です。そうしたボットはほとんどの会社のサイトで歓迎されています。

たとえば、クレデンシャルスタッフィング攻撃データスクレイピングDDoS攻撃などの目的で使用されるボットは悪意のあるものである場合があります。無許可のWebクローラのようなやや悪性度の低い「悪性」ボットも、迷惑なものとなり得ます。これらはサイト分析を邪魔したり、クリック詐欺を行ったりするためです。

インターネットトラフィックの40%以上は、ボットトラフィックで構成されていて、その大部分は悪意のあるボットだと言われています。そのような理由で、多くの企業は各自のサイトへのボットトラフィックを管理する方法を模索しています。

ボットトラフィックはどのように特定できるか?

Webエンジニアは、各自のサイトへのネットワークリクエストを直接見て、ボットトラフィックと思われるものを特定できます。Google AnalyticsやHeapといった統合型Web分析ツールは、ボットトラフィックを検出するのに役立ちます。

以下のようなデータ分析の異常値は、ボットトラフィックであることを示す危険信号です:

  • 異常に高いページビュー数: サイトにて予期せぬ前例のないページビューの急増が突然起きた場合、サイトでボットによる不正クリックが発生している可能性が高いです。
  • 異常に高い直帰率:直帰率とは、サイトの1つのページを訪問してページ上のどこもクリックせずに立ち去るユーザーの数を示すものです。直帰率の予期しない上昇は、ボットが単一のページに誘導された結果である可能性があります。
  • 非常に長いまたは短いセッション時間:ユーザーがWebサイト内に留まっている時間を表すセッション時間は、比較的一定であるはずです。説明のつかないセッション時間の増加は、異常に遅い速度でボットがサイトを閲覧していることを示している可能性があります。反対に、予期しないセッション時間の減少は、人間のユーザーよりずっと速くボットがサイト上のページをクリックしている可能性を示しています。
  • ジャンクコンバージョン:でたらめのメールアドレスを使用したアカウントの作成または偽名や偽の電話番号を使用して送信された問い合わせフォームといった不審なコンバージョンの急増は、フォーム入力ボットまたはスパムボットが原因である可能性があります。
  • 予期しない場所からのトラフィックの急上昇:特にサイトの母国語を使用しない人が多くいる地域など、特定の1つの地域からのユーザーの数の急上昇は、ボットトラフィックの可能性を示唆しています。

ボットトラフィックによる分析への悪影響とは?

前述のように、不正なボットトラフィックは、ページ閲覧数、直帰率、セッション時間、ユーザーの位置情報、コンバージョン率といった分析指標に影響を与えることがあります。そうした指標の偏差は、サイト所有者にとって多大なフラストレーションになる場合があります。ボット活動で溢れかえっているサイトのパフォーマンスを測定することは非常に難しくなるためです。A/Bテストやコンバージョン率最適化といったサイトのパフォーマンスを向上させる試みも、ボットが原因で引き起こされる統計ノイズによって妨げられてしまいます。

Google Analyticsからのボットトラフィックをフィルター処理する方法

Google Analyticsは、「既知のボットやスパイダーからのすべてのヒットを除外する」というオプションを提供しています(スパイダーはWebページをクロールする検索エンジンボットです)。ボットトラフィックのソースを特定できれば、ユーザーはGoogle Analyticが無視するべきIPの具体的なリストを提供することもできます。

こうした対策は一部のボットが分析を妨げるのを抑止しますが、すべてのボットを阻止することはできません。また、大部分の悪意のあるボットには、トラフィック分析を妨げること以上の不正な目的があるため、こうした対策は、分析データの保護以外、有害なボットアクティビティの軽減に対しては何の効果もありません。

ボットトラフィックによるパフォーマンスへの悪影響とは?

大量のボットトラフィックの送信は攻撃者がDDoS攻撃を始める非常に一般的な方法です。一部のタイプのDDoS攻撃では、大量の攻撃トラフィックがWebサイトに向けられるため、配信元サーバーに過負荷がかかり、webサイトの表示速度が遅くなったり、あるいは正当なユーザーが利用できなくなる、といった状況が発生します。

ボットトラフィックによる企業への悪影響とは?

一部のWebサイトは、パフォーマンスに影響がない場合でも、悪意のあるボットトラフィックによって金銭的損失を被る可能性があります。広告に依存するサイトや限られた在庫しか持たない商品販売サイトは特に脆弱です。

広告を配信するサイトの場合、サイトに到達してページのさまざまなエレメントをクリックするボットは、広告のクリックを偽装する可能性があります。これをクリック詐欺と呼んでいます。これにより、最初は広告収入の増加がみられますが、オンライン広告ネットワークはボットクリックの検出に優れています。Webサイトがクリック詐欺を行っていると疑いを持った場合、通常はサイトとその所有者のネットワーク使用を禁止するといった措置が講じられます。こうした理由から、広告をホストするWebサイトの所有者はボットのクリック詐欺に常に用心する必要があります。

在庫が限られているサイトは、在庫操作ボットの標的になる場合があります。在庫操作ボットは、その名が示すように、eコマースサイトを訪問してショッピングカートに大量の商品を入れることで、正当な買い物客がその商品を購入できないようにします。場合によっては、サプライヤーやメーカーから不要な在庫補充をしてしまうこともあります。在庫操作ボットは、実際に購入することはなく、利用可能な在庫に混乱をきたすことのみを目的としています。

Webサイトはどのようにボットトラフィックを管理できるか?

Webサイトへのボットトラフィックを抑止または管理するための第一歩は、robots.txtファイルを含めることです。これは、ページをクロールするボットへの指示を含むファイルであり、ボットがWebページを訪問したり操作したりするのを防ぐように設定できるものです。ただし、robots.txtのルールに従うのは良いボットのみであり、悪意のあるボットがWebサイトをクロールすることは防止できないことに留意する必要があります。

さまざまなツールが不正なボットトラフィックの軽減に役立ちます。レート制限(Rate Limiting)を用いた解決方法では、単一のIPアドレスから始まるボットトラフィックを検出して防止することはできますが、依然として多くの悪意のあるボットトラフィックを見落としてしまいます。レート制限に加えて、ネットワークエンジニアは、サイトのトラフィックを見て、不審なネットワークリクエストを特定し、WAFのようなフィルター処理ツールを使用してブロックすべきIPアドレスの一覧を提供することができます。これは、非常に労力を要するプロセスであるにもかかわらず、一部の悪意のあるボットトラフィックしか阻止することができません。

レート制限やエンジニアによる直接的な介入とは別に、悪意のあるボットトラフィックを阻止する最も簡単で効果的な方法は、ボット管理ソリューションを使用することです。ボット管理ソリューションは、インテリジェンスと行動分析を活用して、悪意のあるボットがWebサイトに到達する前にこれを阻止することができます。たとえば、Cloudflare Bot Managementは、1300万を超えるインターネットプロパティからのインテリジェンスと機械学習を使用して、ボットの悪用を積極的に特定して阻止します。