ボットとは何か - 仕組み・種類・最新の脅威トレンドを整理する
あなたのサイトに、今この瞬間もアクセスしてきているのは人間だけではありません。
インターネットトラフィックはもはや、人間よりもボットのほうが多いと言われています。
「ボットが悪いとは限らない」という話は別の記事で触れました。
この記事では一歩踏み込んで、ボットがどんな仕組みで動いているのか、そして2025〜2026年にかけてどう脅威が変化しているのかを整理します。
ボットはどうやって動くのか
ボットの基本的な動作は、人間がブラウザで行う操作と大差ありません。
- HTTPリクエストをサーバーに送る
- レスポンス(HTMLやJSONなど)を受け取る
- 必要に応じて次のリクエストを送る
違いは速度と規模です。
人間が1分間に数ページを閲覧する間に、ボットは数千〜数万のリクエストを送ることができます。
また、近年のボットの多くは ヘッドレスブラウザ(画面表示のない本物のブラウザエンジン)を使って動作します。 JavaScriptも実行し、Cookieも保持し、人間のブラウザと区別するのが難しくなっています。
ボットの種類
ボットはその目的によって多様な種類に分かれます。
サイト運営に欠かせないボット
| ボットの種類 | 役割 |
|---|---|
| 検索エンジンクローラー | GoogleやBingがページを巡回してインデックスを更新する |
| 監視ボット | サーバーの死活監視やパフォーマンス計測を自動実行する |
| SEO分析ボット | サイトの構造やリンクを分析してレポートを生成する |
これらは「検証済みボット(Verified Bot)」とも呼ばれ、Cloudflareのような対策サービスでも別扱いされます。
近年急増しているAI関連ボット
| ボットの種類 | 役割 |
|---|---|
| AIスクレイパー | AI学習データやRAGの素材としてWebコンテンツを大量収集する |
| AIエージェント | ログイン・フォーム送信・購入など、複数の行動を自律的にこなす |
AIスクレイパーはOpenAI、Google、Meta等の大手が運用しており、技術的には「良いボット」の分類です。
ただし帯域を大量消費するため、サイトオーナーにとっては頭痛の種になっています。
悪意を持って動くボット
| ボットの種類 | 何をするか |
|---|---|
| クレデンシャルスタッフィングボット | 流出したIDとパスワードを大量に試してアカウントを乗っ取る |
| スクレイピングボット | 価格情報・コンテンツを無断収集して競合他社や転売業者に流す |
| DDoSボット(ボットネット) | 大量のリクエストでサーバーをダウンさせる |
| スパムボット | フォームやコメント欄に大量の迷惑コンテンツを投稿する |
| クリックボット | 広告を自動クリックして広告費を不正に消費させる |
大事なのは、名前ではなく、このような目的でボットが使用されているということを覚えてください。 今も、様々な用途でボットが生まれています。
2025〜2026年:ボット脅威の変化
ボットの脅威は、近年急速に変化しています。
AIエージェントの登場で「複雑な操作」が自動化された
従来のボットは、特定のページを繰り返しリクエストするシンプルな構造でした。しかし AIエージェント は「ページを読む → 判断する → 操作する」という複合的なフローを実行できます。
フォームへの入力、ログイン後の操作、APIへのアクセスなど、これまで人間にしかできなかった行動を模倣します。悪意ある用途に転用されると、従来の検知手法では捕捉しきれません。
ボットトラフィックの急増
あるセキュリティベンダーのレポートによれば、2025年の1年間でAIが絡むトラフィックは大幅に増加しており、Webサイトの運営者が向き合うボットの量は年々増え続けています。もはやボット対策はサービスの規模を問わず必要な要件になっています。
住宅用IPによる回避
過去のボット対策の定石は「データセンターのIPをブロックする」ことでした。しかし現在の高度なボットは、一般家庭のIPアドレス(住宅用IPプロキシ)を経由してアクセスするため、単純なIPブロックでは対応できなくなっています。
ボットが「人間のふり」をする手口
検知を逃れるために、悪意のあるボットはさまざまな偽装技術を使います。
User-Agentの偽装
HTTPリクエストに含まれる「どのブラウザからアクセスしているか」の情報を、本物のChromeやSafariに見せかけます。
アクセス速度の調整
毎秒何千リクエストという機械的なペースではなく、人間らしいランダムな間隔でリクエストを送ります。
JavaScriptの実行
ヘッドレスブラウザ(Playwright、Puppeteerなど)を使い、JavaScriptを実行してCookieやlocalStorageを操作します。簡易的なボット検知は突破されます。
ヘッドレスブラウザとは、画面表示(GUI)を持たないブラウザのことです。通常のChromeやFirefoxと同じエンジンで動作し、JavaScriptの実行やCookieの保持も行えますが、画面には何も表示されません。プログラムから操作できるため、ボットやテスト自動化に多用されます。
住宅用IPの利用
データセンターではなく、一般家庭のIPを経由するため、IPレピュテーションによるブロックをすり抜けます。
これらが組み合わさることで、単一の対策では検知が難しい「高度なボット」が生まれます。
ボットによる被害:何が実際に起きているか
| 被害の種類 | 具体的な影響 |
|---|---|
| アカウント乗っ取り | クレデンシャルスタッフィングで顧客のアカウントが不正利用される |
| コンテンツ盗用 | 記事・価格・商品情報が競合他社や転売業者に流れる |
| 機会損失 | スカルピングボットに在庫を根こそぎ購入され、正規顧客が買えない |
| インフラコスト増大 | AIスクレイパーや攻撃ボットの大量アクセスでサーバー費用が膨らむ |
| SEOへの悪影響 | スパムボットがフォームやコメント欄を汚染し、サイトの信頼性が下がる |
| 広告費の浪費 | クリックボットが広告予算を不正消費する |
まとめ
| 観点 | ポイント |
|---|---|
| ボットの仕組み | HTTPリクエストを自動送信するプログラム。ヘッドレスブラウザで人間に偽装するものも多い |
| 善意のボット | 検索クローラー・監視ボット・AIスクレイパーなど |
| 悪意のボット | クレデンシャルスタッフィング・スクレイピング・DDoSなど |
| 最新トレンド | AIエージェントの登場で「人間と区別しにくいボット」が急増中 |
| 偽装手口 | User-Agent偽装・速度調整・JS実行・住宅用IPを組み合わせる |
ボットの「何が危険か」を理解したうえで、次のステップとして「Cloudflareがどうボットを検知・対処するか」を見ていきましょう。
それが Bot Score・Bot Fight Mode・Super Bot Fight Mode の話につながっていきます。