- 利用が身近になった生成AIツールの台頭により、サイバー攻撃者にとってのハードルが大幅に下がり、悪性ボットを大規模に作成・展開することが可能になりました。
- 全てのウェブトラフィックのうち51%が自動化されたトラフィックであり、過去10年の調査ではじめて、人間によるトラフィックを上回りました。
- 高度な悪性ボットトラフィックのうち44%がAPIを標的にした攻撃であり、旅行業界がボット攻撃における一番のターゲットとなりました。
[画像: https://prcdn.freetls.fastly.net/release_image/106675/13/106675-13-800a647881dd6bf775575db300c997a2-1031x539.jpg?width=536&quality=85%2C75&format=jpeg&auto=webp&fit=bounds&bg-color=fff ]
世界をリードするテクノロジーとセキュリティのプロバイダーであるタレスは、この度、Impervaによるインターネット全体における自動化ボットトラフィックのグローバル分析「悪性ボットに関する報告(2025年版)」を発表しました。12回目となるこの度の年次調査では、生成AIがボットの開発に革命をもたらし、スキルを持たない攻撃者でも高頻度かつ大量のボット攻撃を仕掛けることが可能になったことが明らかになりました。攻撃者は、商業化されたボットサービス「Bots-As-A-Service (BaaS)」 のエコシステムが拡大する中で、AIを活用して過去の失敗例を分析し、より効率化された手法でセキュリティ対策を回避する手口を向上させています。
2024年、自動化されたボットによるトラフィックは全トラフィックの51%と半数を超え、過去10年の調査で初めて人間によるトラフィックを上回りました。この変化の大きな要因になっているのが、AIや大規模言語モデル(LLM)の台頭です。これらの技術によって、悪用を目的としたボットを容易に作成し、大規模に拡散することができます。AIツールがより身近になる中、サイバー犯罪者によるこれらの技術を活用した悪質のあるボットの作成・拡散例が増加しています。全インターネットトラフィックに占める悪性ボットの割合は全体の37%を占めており、前年(32%)から大きく増加しました。この悪性ボットの割合は6年連続で増加しており、デジタル資産を保護しようとする組織にとって、大きなセキュリティ上の課題となっています。
業界別にみると、旅行(27%)、小売(15%)の順に多くの悪性ボット攻撃を受けており、旅行業界は前年の21%から上昇しました。また、これらの業界では高度な悪性ボットによる攻撃に直面しており、悪性ボット全体のうち、旅行業界では41%、小売業界では59%がそれぞれ高度な悪性ボットによるトラフィックです。
2024年における最も顕著な傾向として、旅行業界に対する高度なボット攻撃の割合が前年の61%から41%に減少した一方、同業界に対する低度なボット攻撃は、前年の34%から52%に急増したことです。この変化は、AIを活用した自動化ツールが技術的なハードルを下げ、高度な技術を持たない攻撃者でも容易に単純なボット攻撃を実行できるになったことを示しています。サイバー犯罪者たちは、高度な攻撃の手法だけに依存せず、大量の低度なボットを旅行サイトに送り込み、攻撃の頻度と規模を拡大させているのです。
なお、日本国内における全インターネットトラフィックに占める悪性ボットの割合は全体の23%で、昨年(18%)から増加しています。また、悪性ボットの7割以上は低度なボット(73%)で、昨年(46%)から大幅に上昇していることから、日本国内においても生成AIによってボット攻撃のハードルが下がっている状況がみられます。高度な悪性ボットの割合は13%で、他国に比べ低い割合ですが、昨年(5%)から増加しています。
AI駆動型ボットの台頭:サイバーセキュリティにおける新たな課題
ChatGPT、ByteSpider Bot、ClaudeBot、Google Gemini、Perplexity AI、Cohere AIをはじめとする高度なAIツールの登場は、ユーザーとシステム・サービス間のユーザーインタラクションだけでなく、攻撃者によるサイバー脅威の実行方法にも変革をもたらしています。Imperva Threat Research チームによると、広く使用されているAIツールがサイバー攻撃目的で活用されています。AI攻撃のうち、ByteSpider Botによるものが全体の54%を占め、他にも、AppleBot (26%)、ClaudeBot(13%)、そしてChatGPT User Bot(6%)がこうしたAI活用型攻撃に寄与しています。
タレス サイバーセキュリティプロダクト部門 アプリケーションセキュリティ ジェネラルマネージャーであるTim Changは、次のように述べています。「AI駆動型ボットの急増は、世界中のビジネスに深刻な影響を及ぼしています。自動化されたトラフィックが全ウェブ活動の半分以上を占める中、企業や組織は日々大量に生成される悪性ボットによる攻撃リスクの増加に向き合わなければなりません」
攻撃者がAIの活用に慣れるにつれ、DDoS攻撃からカスタムルールの悪用、APIの不正利用に至るまで、さまざまなサイバー脅威をもたらすことができるようになりました。ボットによる攻撃がますます巧妙化する一方、検知の手法は複雑化し、重大な課題をもたらしています。
Changは次のように述べています。「本年のレポートでは、ボット攻撃者たちが用いる戦術や手法の進化に焦点を当てています。かつては高度とみなされていた回避技術も、今では多くの悪性ボットにとって一般的な手法となっています。この急速に変化する環境の中で、企業も自らの戦略を進化させる必要があります。絶えず変化するボット関連の脅威に対して強固な防御を築くには、高度なボット検知ツールと包括的なサイバーセキュリティ管理ソリューションを活用し、柔軟かつ先を見据えたアプローチを取ることが極めて重要です」
APIのビジネスロジックを標的とした悪性ボットが企業への脅威を増大
Imperva Threat Researchによると、APIを標的とした攻撃が大幅に増加しており、高度な悪性ボットトラフィックの44%がAPIを標的にしています。これらの攻撃は、単にAPIエンドポイントをオーバーロードさせるだけでなく、APIの動作を定義する複雑なビジネスロジックを狙っているのが特徴です。攻撃者は、APIのワークフローに潜む脆弱性を利用するように設計されたボットを投入し、自動化された不正決済、アカウント乗っ取り(ATO)、データの不正流出といった攻撃を行います。
分析によると、サイバー攻撃者たちは、機密性が高く価値のあるデータを扱うAPIエンドポイントを標的とした意図的な攻撃戦略を持っています。この傾向は、重要な業務や取引をAPIに依存している業界にとって、特に深刻な影響をもたらしています。金融サービス、ヘルスケア、そしてEコマース業界は、こうした高度なボット攻撃の影響を最も強く受けており、機密情報を狙う悪質な攻撃者にとって、格好の標的となっています。
APIは、サービス同士の接続を可能にし、運用の効率化や、個々にパーソナライズされた顧客体験を大規模に提供する役割を担う、現代のアプリケーションにおける中核的な要素です。決済処理、サプライチェーン管理、AIによる分析など重要な機能を支え、運用効率の向上、製品開発の加速、新たな収益源の創出において欠かせない存在となっています。
Changは次のように述べています。「APIに組み込まれたビジネスロジックは強力である一方、悪意ある攻撃者にとって格好の標的となる特徴的な脆弱性を生み出しています。企業や組織がクラウドベースのサービスやマイクロサービスアーキテクチャを積極的に導入する中で、APIを不可欠な存在にしているその特性こそが、詐欺やデータ漏洩のリスクにさらされる要因にもなり得ると認識することが重要です」
金融、ヘルスケア、Eコマース業界はリスクの高まりに直面
金融、ヘルスケア、そしてEコマースは、悪性ボットの特に影響を受けている分野であり、いずれも重要な業務や機密性の高い取引にAPIを活用しているため、高度なボット攻撃の格好の標的となっています。
金融業界は、アカウント乗っ取り(ATO)攻撃において最も標的とされた業界であり、同攻撃全体のうち22%を占めました。次いで、通信事業者およびインターネットサービスプロバイダー(ISP)が18%、コンピューティングおよびIT分野が17%となっています。金融サービスは、顧客価値が高く、扱うデータの機密性も非常に高いことから、長年にわたってATO攻撃の主要なターゲットとされてきました。銀行、クレジットカード会社、フィンテックプラットフォームなどは、クレジットカード番号や銀行口座情報を含む膨大な量の個人識別情報(PII)を保有しており、これらの情報がダークウェブにおいて高値で取引されます。さらに、業界内でのAPIの急速な普及によって攻撃対象領域が広がり、認証や認可方法などの脆弱性が利用されやすくなることで、アカウント乗っ取りやデータ窃取のリスクが高まっています。
調査について
Impervaによる第12回年次調査「悪性ボットに関する報告(2025年版)」は、同社の Threat Research と Security Analyst Services (SAS)チームによる分析に基づいています。分析は、数千のドメインや業界にわたる13兆件の悪質なボットリクエストをブロックした事例を含む、Impervaのグローバルネットワークから2024年に収集されたデータに基づいており、ボットの活動に関する重要なインサイトを提供し、組織が自動化された攻撃のリスクを理解し、対策を講じる指針となります。
(以上)
タレスグループについて
タレス(本社:フランス・パリ、Euronext Paris: HO)は、防衛、航空・宇宙、サイバー・デジタル分野における、先端技術のグローバルリーダーです。主権、セキュリティ、サステナビリティ、インクルージョンなどの課題に対し、革新的な製品とソリューションで応えてまいります。
タレスグループは、AI、サイバーセキュリティ、量子技術、クラウド技術など主要分野における研究開発に関して、年間40億ユーロ近くを投資しています。
68カ国に8万3,000人の従業員を擁するタレスの2024年度売上高は、206億ユーロを記録しています。
