増加し続ける悪質なボット:全インターネット・トラフィックの約半数に到達 – Imperva

Bots dominate internet activity, account for nearly half of all traffic

2024/04/18 HelpNetSecurity — 2023 年の全インターネット・トラフィックの、49.6% はボットによるものであり、前年比で 2%増加しているという。Thales の子会社である Imperva が 2013年に 自動トラフィック監視を開始して以来、この数字は最も高い水準となった。悪質なボットが生み出す Web トラフィックの割合は、5年連続で増加し続けており、2022年の 30.2% から 2023年の 32% へと増加し、人間であるユーザーからのトラフィックは 50.4% に減少した。Web サイト/API/アプリケーションなどへの、自動化されたトラフィックが引き起こす攻撃により、年間で数十億ドル (USD) 相当の損害が、ユーザー組織に発生している。


Imperva の Application Security GM である Nanhi Singh は、「ボットは、あらゆる業界が直面する、最も蔓延/成長している脅威の1つである。単純な Web スクレイピングから、スパム/サービス拒否/悪質なアカウント乗っ取りに至るまで、ボットはオンライン・サービスの能力を低下させ、インフラやサポートに対する投資を肥大させることで、組織の収益に悪影響を与えている。攻撃者たちは、アカウント侵害やデータ流出につながる API 関連の悪用に焦点を絞っている。そのため、ユーザー組織は、悪質なボットの脅威に対して積極的に取り組む必要がある」と述べている。

悪質なボット・トラフィックは、世界の平均で 32% に達している。 アイルランド (71%)/ドイツ (67.5%)/メキシコ (42.8%) では、2023年に悪質ボットのトラフィックが最も高い水準となった。米国も、2022年 (32.1%) に比べて、悪質なボット・トラフィックの比率が 35.4% へと上昇している。

GenAI の利用拡大が単純ボット増加の一因に

GenAI と LLM (Large Language Models) の急速な採用により、2022年の 33.4%から 2023年の 39.6% へと、ボットの数はシンプルに増加している。その背景にあるのは、Web スクレイピング・ボットや自動クローラーから AI に学習モデルが供給され、また、非技術系ユーザーが自動スクリプトを作成するという現実である。

アカウント乗っ取り (ATO:Account Takeover) 攻撃は、2023年において前年比で 10% の増加となった。注目すべきは、API エンドポイントを標的にした ATO 攻撃が、2022年の 35%から 2023年の 44% へと増加した点である。インターネット上での全てのログイン試行のうち、11% がアカウント乗っ取りに関連していたという。2023年に ATO 攻撃が多かった業界は、金融サービス (36.8%)/旅行 (11.5%)/ビジネス・サービス (8%) の順となっている。

2023年に発生した API 攻撃の 30% は、自動化された脅威によるものだった。そのうちの 17% は、ビジネス・ロジックの脆弱性 (API の設計と実装の欠陥) を悪用するボットによるものだ。この種のボットを用いる攻撃者は、正当な機能を操作して、機密データやユーザー・アカウントにアクセスしていった。攻撃者たちは、自動化されたボットを使って API を見つけて悪用する。機密データへの直接的な経路として機能する API は、ビジネス・ロジックを悪用する際の格好のターゲットになる。

どの業界もボットの問題を抱えている

悪質なボット・トラフィックにおいて、最大の割合を占めたのは、2年連続でゲーム (57.2%) 業界だった。その一方で、ボット攻撃が多かったのは、小売業 (24.4%)/旅行業 (20.7%)/金融サービス業 (15.7%) の順となっている。高度な悪質ボット (人間の行動を忠実に模倣して、防御を回避するボット) の割合が最も高かったのは、法律と政府 (75.8%)/エンターテイメント (70.8%)/金融サービス (67.1%) の Web ブラウザ・サイトだった。

家庭用 ISP (Internet Service Providers) から発信される悪質なボットのトラフィックは、25.8%に増加している。悪質なボットにおける初期の回避技術は、正規の人間ユーザーが一般的に使用する、ユーザー・エージェント (ブラウザ) を装うことに依存していた。モバイル・ユーザー・エージェントを装う悪質ボットは、5年前の 28.1%から増加し、この1年間で悪質ボット・トラフィック全体の 44.8% を占めるまで増大した。

洗練された攻撃者たちは、モバイル・ユーザー・エージェントと家庭用/モバイル ISP を組み合わせて悪用している。住宅用プロキシにより、正規の ISP 割り当てた住宅用 IP アドレスを装うことで、ボット運営者はトラフィックの発信元を隠し、検知を逃れていく。

Singh は、「近い将来において、自動化されたボットによる攻撃は、人間によるインターネット・トラフィックの割合を上回るため、Web サイトやアプリの構築と保護に対する、ユーザー組織の取り組み方は変化していくだろう。より多くの AI 対応ツールが導入されるにつれて、ボットは遍在するようになる。悪意の自動トラフィックからの脅威を封じるために、ユーザー組織はボット管理と API セキュリティ・ツールに対して、投資していくことになるだろう」と述べている。

ボット・トラフィックについて Imperva がちょうさを行ったようです。全インターネット・トラフィックの約半数に到達とのことですが、2023/11/16 の Arkose Labs の調査「Bad Bot の活動が止まらない:インターネット・トラフィックの 73% を占めるという」では、もっと過激な数字が出ていました。このあたりは、それぞれの調査における主体の違いなどにより、異なる結果になるのでしょう。とは言え、こうした調査から、おぼろげながらも全体像を掴むことは重要です。よろしければ、カテゴリ Statistics も ご利用ください。