ボットとは

ボットはいたるところに存在します。

ボットは、今日のインターネットの大部分で目に見えない原動力として機能し、世界中のユーザーが (良い意味でも悪い意味でも) その影響を感じています。Google など人気の高い検索エンジンに欠かせないクローラーから、機密情報を求めてアカウントへのアクセスを試みるクレデンシャル・スタッフィング・ボットまで、Web トラフィック全体の40%以上をボットが占めています。ここでは、ボットとは何か、ボットの仕組み、今後のボットの方向性など、ボットについて詳しくご紹介します。

ボットは「ロボット」または「インターネットロボット」などの略で、自動化されたタスクをインターネット上で実行するソフトウェアプログラムです。データを収集するために自動的に Webサイトをクロールしたり、チャットインターフェイスを通じてユーザーとやり取りをしたり、フォームに記入したり、反復的なタスクを遂行したりするようにプログラムできます。通常、ボットは人間ができるタスクを遂行しますが、人間よりも大規模なスケールで、より効率的かつ機能的にタスクを処理し、しかも作業が正確なので、広く普及しています。 

ボットの利用者

以前は、ボットの構築に必要な開発スキルを持つ人のみがボットを利用することができました。しかし現在は、正規の組織やマーケットプレイス、あるいは個人や組織が目的を達成するのをサポートするダークウェブなどで、簡単にボットを購入できます。つまり技術的なノウハウやお金さえあれば、誰でもボットを使って正当または悪意のあるアクションを実行できるのです。以下は典型的なボットの例です。

• インターネット上で Web ページを発見し、クローリングしてインデックス化するために検索エンジンが使用する Web クローラー。 

• さまざまなプラットフォームで盗んだログイン情報を使用してユーザーアカウントへの不正アクセスを試みるプロセスを自動化するアカウントスクレイパーボット。

• 広告収入を意図的につり上げたり、競合企業の広告キャンペーンを妨害したりする目的で、オンライン広告のクリックを促すクリック詐欺ボット。

ボットには多くの種類が存在します。詳しくはこちらをご覧ください。

正当なボット VS 悪意のあるボット

ボットに対する理解を深める上で、ボットが「正当なボット」または「悪意のあるボット」に分類されることがよくある点に注目する必要があります。両方とも機能的には同じですが、正当なボットは合法および倫理にかなったタスクを遂行することを目的とし、日常的に使用されています。Google をはじめとするほぼすべての検索エンジンがクローラーボットを利用して最良の検索結果を特定し、ユーザーに提供しています。また Alexa や Siri などのアシスタントツールは、ユーザーがさまざまなタスクを遂行するのをサポートするチャットボットの良い例です。コンテンツを別の言語で読むために翻訳ボットを活用したり、株式市場で株価の推移を確認するためにファイナンスボットを利用したりするなど、大勢の人が日々の生活の中でボットを使用し、ボットは現代生活の原動力になっているともいえます。

一方、悪意のあるボット (「悪質なボット」と言われることもあります) には、違法なサイバー犯罪に加担しているボットだけでなく、アプリケーションのサービス利用規約や robots.txt の動作ルールに従わないボットも含まれます。後者は本質的に違法ではありませんが、このように非倫理的なアクションはサイト所有者の意図に反するため、これらも「悪意のあるボット」に分類されます。悪意のあるボットは Web トラフィックの非常に大きな割合を占めています。例えば2020年の第三四半期だけを見ても、13億件を超える攻撃が悪意のあるボットによって実行されています。これは、1日あたり1,500万件以上の攻撃に相当します。

悪意のあるボットの利用方法

悪意のあるボットの究極の目的は、攻撃を仕掛けるハッカーの利益のために、組織または個人に被害をもたらすことにあります。悪意のあるボットには多くの種類がありますが、多くが機密性の高い情報へのアクセスや、組織の正常なオペレーションを妨害するために使用されます。

例えば悪意のあるボットは、氏名やマイナンバー、クレジットカード番号、ユーザーネーム、パスワードなど、個人を特定できる情報 (PII) を盗むことができます。ユーザーがコンピューターでアクセスする機密情報は、ハッカーによって狙われる可能性があるということです。ハッカーは盗んだ情報を使用して不正な購入やプライベートアカウントへのアクセスを試みたり、ダークウェブでその情報を売ったりすることもあります。試しに haveIbeenpwned.com に、任意のパスワードを入力してみてください。この人気サイトでは、ダークウェブで売買されているリストに入力されたパスワードが含まれているかどうかを確認できます。

また、悪意のあるボットによって通常のビジネスの流れが妨害されることもあります。一般的にこのような攻撃は、悪名を得るため、あるいは組織の機能を麻痺させる目的でハッカーによって仕掛けられ、売り上げの喪失や市場での評判の下落につながりかねません。 

さらにハクティビストによって、政府組織や自分たちの主義に反する経営方針を掲げる企業に対して悪意のあるボットが仕掛けられることもあります。例えばロシアとウクライナの戦争では、ベラルーシの反ロシア派ハクティビスト集団が鉄道システムにボット攻撃を仕掛け、運用不能にしたことで、ロシア軍の進行がスローダウンしました。Anonymous のようなハッカー集団もよくこの種類に属します。

攻撃の目的には際限がなく、ここに挙げたのは、攻撃者が目的を達成する手段としてボットを利用するほんの一例です。現在利用されている最も一般的なボットの種類については、悪意のあるボットの種類に関するこちらのページをご覧ください。

悪意のあるボットはどのように仕掛けられるか

皆さんは今、Fastly の Webサイトのフロントエンドからこのページにアクセスしていますが、悪意のあるボットは別の場所からアプリケーションにアクセスしようとします。悪意のあるボットはコマンドラインインターフェイスまたはグラフィカル・ユーザー・インタフェース (GUI) から仕掛けられます。これらにより、新米ハッカーでも攻撃を開始できるユーザーフレンドリーなオーバーレイを作成できます。

コマンドラインインターフェイスでボットに指示が組み込まれる場合、通常のユーザーとは異なり、ボットはインターネットにアクセスすることなくタスクを完了します。情報を抽出するボットの場合、結果もこのウインドウに表示されます。 

GUI プラットフォームから攻撃を仕掛ける場合、一般的なソフトウェア内で操作するのと同様に簡単にできます。GUI が必要な入力を表示するので、ボタンをクリックするだけで任意のアプリケーションへの攻撃を開始することができます。下記のスクリーンショットは購入可能な DDoS-for-hire (DDoS 攻撃請負) サービスの一例で、数万ものボットで構成されたボットネットを使用して任意のアプリケーションに対して少なくとも 500 Gbps の攻撃を仕掛けます。これがどれくらいの規模かというと、大規模な DDoS 攻撃は通常 50 Gbps 程度であるため、このサービスはその10倍もの規模の攻撃を購入者から請け負うことになります。

ボットの未来

AI と機械学習の継続的な進化は、あらゆるユースケースでボットの発展を促進すると考えられます。これらの分野における最先端の革新技術を駆使するボットは、対話やタスクの自動化を通じてより人間に近い動作をするようになり、人間との見分けが困難になるでしょう。例えば、自然言語処理 (NLP) における最新技術とその大規模言語モデル (LLM) を活用するチャットボットは、メッセージに応答するので、より人間に近く感じられるでしょう。映画『her/世界でひとつの彼女』のシナリオのごとく、リアルな人間のように感じられるチャットボットに人間が恋をするということが、現実に起こるかもしれません。

AI や機械学習における飛躍的な進歩は、アプリケーションセキュリティ担当者に大きな懸念をもたらしています。悪意のあるボットの検出がさらに困難になるためです。悪意のあるボットの検出とブロックに対する一般的なアプローチの多くが、最新技術を駆使するボットに対して歯が立たなくなり、セキュリティ担当者は安全を維持するために急いでアプローチを変える必要に迫られるでしょう。暗い未来が待っているかのように聞こえるかもしれませんが、現実には希望がないわけではありません。セキュリティ担当者とハッカーのいたちごっこにおいて、技術的進歩によって新たなサイバー戦場が生まれるたびに、両者はその場で優位に立とうと格闘しています。悪意のあるボットによる攻撃の中には成功するものもあるかもしれませんが、最終的にセキュリティ専門家が対処できない脅威はこれまで存在しません。

ボット管理に対する自動化アプローチ

悪質なボットは企業の収益とユーザーエクスペリエンスに悪影響を及ぼします。Fastly の Next-Gen WAF は、悪質なボットのアクティビティを迅速に特定して対応し、ボットによるさまざまな悪影響からアプリケーションと API を保護します。このソリューションは、世界中のあらゆる規模の組織にとって有効であることが実証されています。Next-Gen WAF のボット対策機能について詳しくはこちらをご覧ください。