ボットトラフィックとは?見分け方や今すぐできる対策方法を徹底解説

Webサイトを運営していると、ボットからトラフィックがおきることもありますよね。このボットトラフィックとは、人間のアクセスではなく自動プログラムによるアクセスを指し、サイトの分析データや広告運用に悪影響を起こす要因となっています。
この記事では、ボットトラフィックの種類や対策方法、早期に発見する方法などを解説します。
ボットトラフィックとは

ボットトラフィックとは、人間を介さないプログラムによるWebサイトやアプリへのアクセスのことです。ボットは、検索エンジンやチャットボットなどに使用されており、画期的なロボットとして機能しています。そのため、ボット自体は悪いものではありません。
しかし、ボットが不正アクセスやサーバーダウンを目的とした攻撃などに悪用されることもあるので注意が必要です。そして広告費を詐取する目的で悪用されることもあるため注意しなければいけません。
クラウドソリューション会社GlobalDotsの調査結果「2018 Bad Bot Report」によると、全インターネットトラフィックの約42.2%がボットトラフィックであると述べられています。そのため、Web広告運用のクリックの中には、不正クリックが含まれている恐れがあるのです。
悪意のあるボットトラフィックの攻撃手法5つ

悪意のあるボットトラフィックは、さまざまな攻撃を仕掛けてくるので注意しなければいけません。
次に、ボットトラフィックの5つの攻撃について解説します。
1. クレデンシャルスタッフィング攻撃
リスト型攻撃とも呼ばれ、ユーザーアカウント情報の流出を悪用し、さまざまなサービスに不正アクセスしていくサイバー攻撃のことをいいます。サイバー犯罪者は、Webサービスのログイン画面でボットに入力を繰り返し実行させ、ログインやパスワード情報を取得します。このクレデンシャルスタッフィング攻撃の成功率は1%程度です。
2. データスクレイピング
ボットを使用して重要な個人情報を抽出することをいいます。企業情報はデータが外部に漏洩しないように管理されていますが、ボットは限定されているアクセス権をくぐり抜けてデータを得ようとします。従業員や取引先の連絡先情報もスクレイピングされる恐れがあるので注意してください。
3. DDoS攻撃
DDoS攻撃を日本語に訳すと「サービス妨害攻撃」です。その名の通り、ターゲットとなる企業のWebサイトに大量のパケットを送信して負荷をかけて、Webサイトのサーバーをダウンさせる攻撃です。
4.スパム投稿攻撃
ボットを用いてサイト内のコメント欄や問い合わせフォームに大量のスパムを投稿する手法です。これによりサイトの信頼性が低下したり、管理側の運用負荷が増大したりする恐れがあります。
5.クリック詐欺攻撃
ボットが広告を自動で大量クリックすることで、サイバー犯罪者が広告収入を不正に得る攻撃です。結果として、ターゲットとなった広告主の広告予算が無駄になり、広告運用を改善するためのデータが歪められてしまうなど、大きな不利益が発生します。
ボットトラフィックの注意点3つ

ボットトラフィックが増えると、さまざまな不利益を被ることになるため注意が必要です。
ここでは、ボットトラフィックの注意点について解説します。
1.サイト運営の効果測定が正しく行えない
悪意のあるボットトラフィックの被害を受けると「ページビュー数」「ユーザー数」「直帰率」「コンバージョン数」などの分析指標が大きく変わります。ボットトラフィックが原因で引き起こされる統計ノイズによって、サイト運営の効果測定も難しくなってしまいます。
本来であれば、PDCAサイクルを回してサイト運営の効率を上げていくものですが、そのような改善施策も効果が出にくくなるので注意しなければいけません。
2.広告費がボットトラフィックで消費されてしまう
Global社の調査結果「2018 Bad Bot Report」では、インターネットトラフィックの42.2%がボットトラフィックであると述べています。ネット広告に100万円を支払っても、42万円がボットトラフィックで消費されてしまうのです。
3.不正アクセスの温床となりデータを盗まれる可能性も
ボットトラフィックは、不正アクセスのきっかけとなる場合もあります。
例えば、ボットにWebサイト上でSQLインジェクションなど悪意のあるプログラムを実行させセキュリティの盲点を突き、利用者のログインパスワードや決済情報を盗まれる可能性もあります。
ボットトラフィックによりサイト利用者の情報が盗まれてしまうと、企業に対する信用は大きなダメージを受けることになるでしょう。
ボットトラフィックの対策方法4つ

ボットトラフィックが集中すると下記などの被害を受けます。
- 広告費が不正クリックに消費される
- サイト運営の効果測定が行えない
- 個人情報が盗まれてしまう
従って、このような被害を受ける前にボットトラフィックを発見して対策をしましょう。
ここでは、ボットトラフィックの対策方法について解説します。
【関連記事】Bot対策でセキュリティ強化!防げる攻撃や対策手法を解説
1.Webサイトの指標を確認して早期に発見する

ボットトラフィックが集中すると、Webサイト運営にも異常が見られるようになります。
下記に該当する異常が見つかった場合は、ボットトラフィックを疑いましょう。
1.異常に高いページビュー数
前例のないページビュー数が発生した場合、ボットによる不正クリックが発生している危険性があります。
2.異常に高い直帰率
直帰率が異常に高い場合は、ボットが単一のページを閲覧している可能性があります。
3.セッション時間の異常
ユーザーがWebサイト内に留まっている時間を表すセッション時間は、比較的一定です。そのため、セッション時間が異常に短かったり、長かったりする場合は不正クリックを疑いましょう。
4.不審なコンバージョンの増加
偽名や偽電話番号を使用した不審なお問い合わせが増えた場合は、フォーム入力ボットやスパムボットがお問い合わせフォームを入力している恐れがあります。
5.予期せぬ国からのトラフィック
サイトの母国語を使用しない人が多くいる地域などからのトラフィックが増えた場合は、ボットトラフィックの可能性を示唆しています。
2.IPアドレスを確認してブロックする

Webサイト分析ツールで異常な数値が出た場合は、ボットトラフィックを疑いましょう。ネットワークエンジニアは、Webサイトのトラフィックを見て、不審なネットワークリクエストのIPアドレスを特定してブロックしていきます。規模が小さな場合であれば、手動でボットによる不正アクセスをブロックすることができるでしょう。
3.Google reCAPTCHAを導入する

ボットトラフィック対策として、グーグルが無料で提供しているCAPTCHA認証の導入が有効です。導入すると、webサイトにアクセスされる際に自動で人間かボットかを判断し、ボットの場合はアクセスをブロックします。
【関連記事】Captcha認証でスパム対策!活用される理由や「私はロボットではありません」と出る原因を解説
4.アドフラウド対策ツールを導入する

不審なネットワークリクエストを1つ1つ確認していく作業は想像以上に大変です。そのため、フィルター処理が行えるアドフラウド対策ツールを導入しましょう。
アドフラウド対策ツールを導入すれば、ブロックすべきIPアドレスを一覧で見ることができます。一覧になっているIPアドレスをブロックするだけで、ボットトラフィック対策が行えます。
【補足】悪意のないボットトラフィックの除外方法
悪意のないボットトラフィックは、Googleアナリティクスのプロパティでボットフィルタリングを設定すれば、簡単に除外ができます。
※悪意のあるボットトラフィックには無効です
まとめ
今回は、ボットトラフィックの恐ろしさについて解説しました。悪意のあるボットトラフィックはDDoS攻撃の目的で行われており、企業のWeb広告費を消費していきます。
正規のユーザーのクリックではなく、ボットトラフィックによる不正クリックで広告費を消費するのは避けたいものです。そのため、自社サイトがボットトラフィックの標的にされていないかをチェックしてみてください。
どのように対策をすれば良いか分からない方や、悪意のあるボットトラフィックの攻撃がされていないか心配な方は「Spider AF」までご相談ください。