出典:Brain light(Alamyストックフォト経由)
インターネットユーザーがオンラインショッピングをしたり、請求書を支払ったり、Googleで質問の答えを検索したりしているとき、実は自分と同じウェブサイトを他の誰かも閲覧していることに気づいていないかもしれません。その違いは、ある者は人間ですが、他はしばしば人間ではないという点です。
Impervaの「2024年バッドボットレポート」によると、過去10年で初めて、自動化トラフィックがオンラインでの人間の活動を上回り、昨年の全ウェブトラフィックの51%を占めました。2023年には悪意のあるボットがインターネットトラフィックの32%を占めていましたが、この数字は2025年には37%に上昇しています。
このレポートによると、人工知能(AI)や大規模言語モデル(LLM)の急速な普及に伴い、ボットの作成はますます容易かつ大規模になっています。AIツールによって脅威アクターの参入障壁が下がり、これまで以上の速さで悪意のあるボットを作成・展開できるようになっています。
その結果、自動化トラフィックの量が増加し、セキュリティチームはボットが優位に立つ中で環境を適応・保護するプレッシャーにさらされ、ウェブサイトはボットによってシステムが圧迫されることで本来の人間ユーザーのパフォーマンスが低下する問題に苦しんでいます。
小規模組織はボットの流入に対抗できない
この問題で最も苦しんでいるのは、こうした非人間的な活動をブロックする高度なツールにアクセスできなかったり、容易に圧倒されてしまう小規模な組織です。
Quanta Sciencesの創設者であるラマ・ヘッツライン氏は、同社のオープンソースコマンドラインツール「Logrip」が小規模ビジネスに必要な解決策になると考えており、今年のBlack Hat USAでその成果を発表する予定です。
「私たちは、ニューヨーク州イサカに拠点を置くパートナー、Community Science Instituteと協力するナレッジAI組織です」とヘッツライン氏は語ります。「彼らは公共の非営利団体であり、私は彼らのデータベースやサーバーの保守を手伝っています。」
20日間の調査期間で、ヘッツライン氏とそのチームはトラフィックの90%がAIクローラーやボットから来ていることを発見しました。15万回以上の訪問のうち、これは1日あたり約7,000回のボットによる訪問に相当します。
これらのボットは、クロールしている組織からデータを取得しようとしていると彼は言います。そして、AI企業が勢いを増し続ける中で、彼らが引き起こす問題は今後さらに悪化することが予想されます。
「AI企業がデータセンターを構築する必要性は非常に高まっています」と彼は言います。「彼らはインターネットから収集した情報をモデルの学習に利用するために使っています。そして、しばしばこれらのクローラーを自律的に情報を取得するように設定しています。」
従来の防御方法には課題が残る
Quanta Sciencesの研究者たちはまず市場に出回っているツールを調査しましたが、それらは不十分であることが分かりました。主な問題は、これらのツールが活動を区別できないことです。多くは月間や日間の訪問数などの集計統計しか提供せず、どの訪問が人間でどれがAIなのかを判断できません。
従来のツールがしばしば区別できない中、そもそもどうやって訪問を見分けるのか疑問に思う人もいるかもしれませんが、ヘッツライン氏は複数の方法があると述べています。
「いくつかの指標があります」とヘッツライン氏は言います。「一つは、同じクラスCサブネット内の多数の異なるIPから来ていることです。つまり、データセンター内のIP群から来ていることが分かります。もう一つは、名前を見て逆引き検索をすれば、それらが大規模な組織やAI収集組織であることが分かります。何を探せばいいか分かれば、それが本当に人間ではないことを突き止めるのはそれほど難しくありません。」
LogripはAIやボットクローラーの訪問を特定し、ブロックすることができますが、後者の方法についてはヘッツライン氏が8月のBlack Hatで明かす予定です。
Logripを導入したウェブサイトは、自分たちのサイトに不要な非人間的な訪問者に対処するために、ツールを必要に応じてカスタマイズできます。
「例えば、Community Science Instituteの場合、公共団体や非営利団体であるため、ポリシーは非常にオープンです」とヘッツライン氏は言います。「彼らはデータを公開したいのですが、サーバーが圧迫されて人間のユーザーが使えなくなるほどにはしたくありません。」
そのため、同研究所のポリシーは比較的寛容で、クローラーやボットのアクセスを許可していますが、サーバーが圧倒されて実際の訪問者向けアプリケーションが遅くならない程度に制限しています。
「これは実際にフィルタリングと識別を行い、ポリシーに基づいてブロックすることを目的としています」と彼は付け加えます。