シアトル – F5 の新しい調査によると、生成 AI の台頭により、一部の種類の Web コンテンツにはボットが人間よりも多くアクセスするようになったという。
F5ラボ2025 高度な永続ボットレポート 2023 年 11 月から 2024 年 9 月までの 2,070 億件の Web および API トランザクションを分析します。 既存のボット防御を導入している顧客の記録を調査し、自動化されたトラフィック オペレーターが対抗手段に直面したときにどのように動作するかを示します。
レポートによると、コンテンツページリクエストの50.04%が1自動化されたソースからのものでしたが、ウェブ上の検索リクエストでは 22.3%、カートに追加トランザクションでは 21.5% でした。 これは、OpenAI、Anthropic、Perplexity などの LLM プロバイダーが使用する Web スクレイパーの種類が大幅に増加していること、およびこれらのボットがブロックされてもリクエストを送信し続けることを示唆しています。
監視されたトランザクションの合計 212.2 億件 (10.2%) はさまざまな自動化ソースからのものであり、その中には無害なものもありましたが、100 億件 (4.8%) は悪意のあるボット トラフィックで構成されていました。
「長年にわたり、ボット トラフィックは主に検索フローをターゲットにしてきましたが、サービスを使用するためにサインアップまたはログインしたり、カートに商品を追加したり、チェックアウトしたり、パスワードを変更したりといったユーザー ジャーニーの側面もターゲットにしてきました」と、 F5 Labs のディレクターである David Warburton 氏は述べています。 「コンテンツスクレイピングの急増は、間違いなく生成AIとLLMの爆発的な増加と関連しており、ボットトラフィックがいかに動的であるか、そして組織が攻撃パターンの変化を常に監視する必要があることを強調しています。」
ボットは緩和されるが、誰もがそうではない
ボット トラフィックのパターンと普及率は業界によって異なります。 ウェブ上で最も標的となった業界は、ホスピタリティ(ボットからのトラフィックの44.6%)、ヘルスケア(32.6%)、eコマース(22.7%)でした。
モバイルでは、エンターテインメント(23%)が圧倒的に最もターゲットとなったセクターであり、eコマース(4.5%)やQSR(4.2%)を大きく上回っています。
いくつかの業界では、ユーザー アカウントの制御を狙うクレデンシャル スタッフィング攻撃が依然として高頻度で発生しています。 ウェブ上では、テクノロジー分野の企業へのログイン試行の3分の1以上がアカウント乗っ取りの試み(33.5%)であり、一般小売業(25.7%)やゲーム(19.6%)を上回っています。 モバイルでは、このような攻撃はエンターテインメント企業 (24.7%) と電子商取引プロバイダー (23.8%) に対して最も多く発生しました。
攻撃の巧妙さも業界によって異なっていました。 ウェブとモバイルの両方でヘルスケアをターゲットにした自動トラフィックの大部分は、「基本」に分類されました。 他の業界では、「高度」と見なされる、より洗練されたトラフィックのレベルが比較的高く、ウェブ上のトップ 3 は一般小売、銀行、航空会社でした。
ボット トラフィックのレベルが高いにもかかわらず、追跡された業界の大多数では 2023 年と比較して自動化されたアクティビティが減少しており、導入されているボット制御が期待通りの効果を上げていることが示唆されています。
外れ値は、ウェブ上のホスピタリティが 18.3% 増加し、ウェブ上の QSR が 11.2% 増加したことでした。 エンターテインメント部門は、モバイル上のボットトラフィックの割合が他のどの業界よりもはるかに高かったにもかかわらず、2023年から11.5%の減少を記録しました。
「特定の業界は、望ましくないボットトラフィックの恒常的なターゲットとなっている」とウォーバートン氏は付け加えた。 「ホテル業界では、アグリゲーターがホテルの客室料金や空室状況のデータをスクレイピングしようとしたり、悪意のある人物がロイヤルティポイントを盗もうとしたりするため、大量のトラフィックが発生します。 同様に、電子商取引プロバイダーは、バウチャーやギフトカードの詳細を悪用するように訓練された再販業者やボットの標的になっています。」
データからは、特定の業界が時間の経過とともに適応してきたことが明らかです。航空会社や金融サービスなどの広く標的となっているセクターは、それほど洗練されていない攻撃者を阻止するための防御を構築しており、より高度で執拗な攻撃者からのトラフィックの割合の増加に対処しなければならないことを意味しています。
緩和策:諸刃の剣?
このレポートでは、ボット トラフィックに対する抑止効果も評価し、自動化されたトラフィックを監視している顧客とそれを軽減している顧客の体験を比較しました。
モバイルでは、その傾向は明らかで予想通りでした。 トラフィックを軽減している組織では、検索トラフィックにおける自動化されたアクティビティの割合が大幅に低下しました (監視のみの組織では 24.8% であったのに対し、軽減した組織では 0.9%)。このパターンは、ログイン (軽減した組織では 5% であったのに対し、監視した組織では 21.7%) とサインアップ (軽減した組織では 2.4% であったのに対し、監視した組織では 21.7%) でも一致しました。
ウェブ上では話は別でした。 ほとんどのワークフローでは、ボットを積極的に軽減している組織では自動化されたトラフィックが多くなりました。 これらの顧客は、検索で自動トラフィックの 20.9% を確認しましたが、単に監視している顧客では 14.9% でした。また、「カートに追加」でも同様の結果でした (19.2% 対 20.9%)。 18.2%)、チェックアウト(8.6% vs. 7.4%)、アカウント回復 (6.6% vs. 4.6%)。
「通常、ブロックされた運営者はより弱いターゲットを探しに移動することになるため、緩和策によってボットトラフィックが減少すると予想されます」とウォーバートン氏は述べた。 「しかし、今ではデータ、価格、知的財産のスクレイピングを中心に構築されたビジネスモデルが存在しており、これらの事業者は阻止されても簡単に諦めることはないだろう。」 トラフィックの増加は、これらの行為者がより多くの方法でより一生懸命努力していることを意味する可能性があり、必ずしも成功しているとは限りません。 この調査と F5 での経験から一貫して言えるのは、軽減策は有効であり、抑止策が効果を発揮するということです。」
[1] 製品、アイテム、価格、またはサービスを表示するページへのリクエストとして定義されます。 「コンテンツ」はレポートで評価された 17 のフローのうちの 1 つであり、他には以下のものがあります。 「検索」、「カートに追加」、「見積もり」(保険など)、「サインアップ」、「取引」、「ログイン」、「アカウント管理」、「評価」、「チェックアウト」。
F5 は、より優れたデジタル世界の実現に取り組んでいるマルチクラウド アプリケーション セキュリティおよび配信企業です。 F5 は、世界最大かつ最先端の組織と提携して、オンプレミス、クラウド、エッジのあらゆるアプリケーションを保護します。 F5 は、企業が脅威に対して常に先手を打つと同時に、顧客に優れた安全なデジタル エクスペリエンスを提供できるようにします。 詳細については、 f5.comをご覧ください。 (ナスダック: FFIV)
また、X で@F5 をフォローしたり、 LinkedInやFacebookにアクセスして、F5、そのパートナー、テクノロジーについて学ぶこともできます。
F5 は、米国およびその他の国における F5, Inc. の商標、サービス マーク、または商号です。 ここに記載されているその他の製品名および会社名は、それぞれの所有者の商標である場合があります。
# # #
このプレスリリースには、リスクや不確実性を伴う将来の出来事や将来の財務実績に関する将来予想に関する記述が含まれている場合があります。 このような記述は、「かもしれない」、「だろう」、「すべきだ」、「期待する」、「計画する」、「予想する」、「信じる」、「見積もる」、「予測する」、「潜在的な」、「継続する」などの用語、またはこれらの用語や類似の用語の否定形によって識別できます。 これらの記述は予測に過ぎず、実際の結果は、SEC への提出書類で特定されたものを含むさまざまな要因に基づいて、これらの記述で予測されたものと大幅に異なる可能性があります。