ボットトラフィックとは? | ボットトラフィックを止める方法

ボットトラフィックはWebサイトへの人間以外によるトラフィックです。有益なボットトラフィックもありますが、悪意のあるボットトラフィックの場合は非常に破壊的になり得ます。

Share facebook icon linkedin icon twitter icon email icon

ボットトラフィック

学習目的

この記事を読み終えると、以下のことができます。

  • ボットトラフィックを定義する
  • ボットトラフィックを識別する方法を理解する
  • 悪意のあるボットがもたらす悪影響を概説する
  • ボットトラフィックを止める方法を学習する

ボットトラフィックとは?

ボットトラフィックはWebサイトまたはアプリへの人間以外によるトラフィックです。ボットトラフィックの用語はしばしば否定的な意味がありますが、実際には、ボットトラフィックは必ずしもすべてが悪性のものではなく、良性か悪性かはボットの目的に依存します。

一部のボットは、検索エンジンやデジタルアシスタント(たとえばSiri、Alexa)のような有用なサービスに不可欠です。ほとんどの会社は、サイト上でこれらの種類のボットを歓迎します。

その他悪意のあるボットもあります。たとえば、クレデンシャルスタッフィングデータスクレイピングDDoS攻撃を行うものなどです。無許可のWebクローラーのようなやや悪性度の低い「悪性」ボットも、迷惑なものとなり得ます。これらはサイト分析を邪魔したり、クリック詐欺を生成したりするためです。

すべてのインターネット通信の50%以上がボットトラフィックで構成され、その大部分は悪意のあるボットであると考えられています。このため、非常に多くの組織がサイトへのボットトラフィックを管理する方法を捜しています。

ボットトラフィックはどのように識別できますか?

Webエンジニアは、サイトへのネットワークリクエストを直接見て、ボットトラフィックと思われるものを識別することができます。Google AnalyticsあるいはHeapのような統合Web分析ツールでも、ボットトラフィックの検知を支援することができます。

次の分析上の異常値がボットトラフィックを示すものです:

  • 異常に高いページビュー: 先例がないような予期しない突然のスパイクがサイトのページビューで起きた場合、ボットが働いてサイトをクリックしたと考えられます。
  • 異常に高い直帰率: 直帰率は、サイト上の単一のページを開いて、他のページを一切クリックせずサイトを去るユーザーの数を識別します。直帰率の予期しない上昇は単一のページに向けられているボットの結果の可能性があります。
  • 驚くほど高いまたは低いセッション持続時間: セッション持続時間、あるいはWebサイト上のユーザー滞在時間は、比較的安定しています。セッション持続の説明されない増加は、サイトのブラウズが異常に遅いボットの可能性があります。反対に、セッション持続の予期しない低下は、人間のユーザーよりはるかに高速でサイト上のページをクリックしたボットの可能性があります。
  • ジャンクコンバージョン: 不審なコンバージョンの増加、たとえばランダムな文字列の電子メールアドレスあるいは偽名および偽の電話番号でアカウントを作成するようなコンバージョンの急増は、ボットやスパムボットの可能性があります。
  • 予期しない場所からのトラフィックのスパイク: 特殊な地域(特にサイトの使用言語が流暢な人々が少ないはずの地域)からのユーザーの突然のスパイクは、ボットトラフィックを示唆します。

ボットトラフィックはどのように分析を妨げますか?

上に言及されるように、無許可のボットトラフィックはページビュー、直帰率、セッション持続時間、ユーザーの地理的位置、コンバージョンのような分析指標への悪影響を及ぼします。指標に現れるこれらの偏差は、サイト所有者に多くのフラストレーションを与えます。ボット活動で氾濫しているサイトのパフォーマンスを測定するのは非常に難しくなるためです。A/Bテストやコンバージョン率最適化のようなサイトを改善する試みも、ボットによって作成された統計の雑音によって無駄になってしまいます。

Google Analyticsからのボットトラフィックをフィルタする方法

Google Analyticsは、「既知のボットおよびスパイダーからのヒットをすべて除外する」オプションを提供します(スパイダーはWebページをブラウズし情報を収集する検索エンジンボットです)。ボットトラフィックの発生源を識別することができる場合、ユーザーはGoogle Analyticsで無視する特定のIPのリストを提供することもできます。

これらの手段はいくつかのボットが分析を防ぐことはできますが、すべてのボットを止められるとは限りません。さらに、最も悪意のあるボットはトラフィック分析を邪魔する以外にも不正な目的を果たそうとしており、これらの手段では、分析データの保護以外に、外部の有害なボット活動を緩和することはできません。

ボットトラフィックはどのようにパフォーマンスを妨げますか?

大量のボットトラフィックの送信は攻撃者がDDoS攻撃を始める非常に一般的な方法です。一部のタイプのDDoS攻撃中に、多くの攻撃トラフィックがWebサイトに向けられます。オリジンサーバーに過負荷がかかり、サイトは正当なユーザーに対して表示や応答が遅くなったり、またはすべて利用不可能になります。

ボットトラフィックはどのようにビジネスに悪影響を及ぼしますか?

パフォーマンスが影響されなくても、いくつかのWebサイトは悪意のあるボットトラフィックによって被害を受ける場合があります。広告に依存したサイト、および在庫に制限のある商品を売るサイトは、特に脆弱です。

広告を配信するサイトでは、サイトでページの諸要素をクリックするボットは、偽の広告クリックを生成させます。これはクリック詐欺として知られています。当初は広告収入の上昇に帰着するかもしれませんが、オンライン広告ネットワークはボットクリックの検知に非常に優れています。Webサイトでクリック詐欺が疑われる場合、通常それらのネットワークからサイトとその所有者を禁止する処置が講じられます。この理由で、広告を表示するサイトの所有者は、常にボットクリック詐欺を警戒しています。

在庫に制限のあるサイトは、在庫溜め込みのボットの標的になり得ます。名前が示すように、このタイプのボットはeCommerceサイトでショッピングカートの中に大量の商品を入れ、正当な買物客が商品を購入できないようにしています。一部の場合には、サプライヤーやメーカーからの不要な仕入れを引き起こすことがあります。在庫溜め込みのボットは実際には商品を購入せず、在庫データの有効性を損なうことのみを目指しています。

Webサイトはどのようにボットトラフィックを管理できますか?

Webサイトへのボットトラフィックを止め、管理することへの第一歩は、robots.txtファイルを含めることです。これはページで情報を集めるボットに指示を提供するファイルで、ボットがWebページを訪れたり対話することを防ぐよう設定することができます。しかし、robots.txtの中の指示に従うのは、良性のボットだけである点は注目されるべきです。悪意のあるボットがWebサイトから情報を収集することは止められません。

多くのツールで、悪意のあるボットトラフィックの影響緩和を支援することができます。速度制限ソリューションでは、単一のIPアドレスから始まるボットトラフィックを検知し防ぐことはできますが、まだ多くの悪意のあるボットトラフィックを見落としてしまいます。レート制限のほかに、ネットワークエンジニアがサイトのトラフィックを見て、疑わしいネットワークリクエストを識別した場合、こうしたIPアドレスのリストをWAFのようにフィルタリングツールによってブロックできます。これは非常に労働集約型のプロセスで、止めることができるのは悪意のあるボットトラフィックの一部のみです。

Rate Limitingおよび直接のエンジニア介在とは別に、悪性のボットトラフィックを止める最も容易で有効な方法がボット管理ソリューションです。ボット管理ソリューションはインテリジェンスと挙動解析を使用して、Webサイトに到着する前に悪意のあるボットを止めることができます。たとえば、Cloudflare Bot Managementでは機械学習を適用し、1300万のインターネットプロパティからのインテリジェンスを使用し、率先してボット不正使用を識別し止めることができます。