記事

ボットトラフィックの攻撃に注意!社内で行える対策方法は?

自社サイトには、正規ユーザーからのアクセスだけではなく、ボットによる不正アクセスもされています。

これらをボットトラフィックといいますが、広告費を詐取する目的で悪用されることもあるため注意しなければいけません。

Web担当者はボットトラフィックに関する知識について理解を深めて対策を考えていきましょう。この記事では、ボットトラフィックの恐ろしさと対策方法について分かりやすく解説します。
 

ボットトラフィックとは

ボットトラフィックとは、Webサイトまたはアプリへのノンヒューマントラフィックのことをいいます。ボットは、検索エンジンやチャットボットなどに使用されており、画期的なロボットとして機能しています。そのため、ボット自体は悪いものではありません。
 

しかし、ボットが、クレデンシャルスタッフィングやデータスクレイピング、DDoS攻撃などに悪用されることもあるので注意する必要があります。
 

クラウドソリューション会社GlobalDotsの調査結果「2018 Bad Bot Report」によると、全インターネットトラフィックの約42.2%がボットトラフィックであると述べられています。そのため、Web広告運用のクリックの中には、不正クリックが含まれている恐れがあるのです。健全なWeb広告運用を行うためにも、ボットトラフィックを除外しましょう。
 

ボットトラフィックの3つの攻撃

悪意のあるボットトラフィックは、さまざまな攻撃を仕掛けてくるので注意しなければいけません。実際に、どのような被害を受けてしまうのでしょうか?次に、ボットトラフィックの3つの攻撃について解説します。
 

1. クレデンシャルスタッフィング攻撃

リスト型攻撃とも呼ばれ、ユーザーアカウント情報の流出を悪用し、さまざまなサービスに不正アクセスしていくサイバー攻撃のことをいいます。サイバー犯罪者は、Webサービスのログイン画面でボットによる繰り返し入力を試み、ログインやパスワード情報を取得します。このクレデンシャルスタッフィング攻撃の成功率は1%程度です。
 

2. データスクレイピング

ボットを使用して重要な個人情報を抽出することをいいます。企業情報はデータが外部に漏洩しないように管理されていますが、ボットは限定されているアクセス権をくぐり抜けてデータを得ようとします。従業員や取引先の連絡先情報もスクレイピングされる恐れがあるので注意してください。
 

3. DDoS攻撃

DDoS攻撃を日本語に訳すと「サービス妨害攻撃」です。その名の通り、ターゲットとなる企業が出稿しているWeb広告に対して、クリックを大量に発生させて広告費を消費させていきます。企業のWeb広告運用を妨害する攻撃もDDoS攻撃に一種です。

また、Webサイトに大量のパケットを送信して負荷をかけて、Webサイトやサーバーをダウンさせる攻撃などもあります。このようなDDoS攻撃にもボットが使用されています。
 

ボットトラフィックの注意点

ボットトラフィックが増えると、さまざまな不利益を被ることになるため注意してください。企業側は、どのような不利益を被るのでしょうか?ここでは、ボットトラフィックの注意点について解説します。
 

広告費がボットトラフィックで消費されてしまう

Global社の調査結果「2018 Bad Bot Report」では、インターネットトラフィックの42.2%がボットトラフィックであると述べています。ネット広告に100万円を支払っても、42万円がボットトラフィックで消費されてしまうのです。
 

サイト運営の効果測定が正しく行えない

悪意のあるボットトラフィックの被害を受けると「ページビュー数」「ユーザー数」「直帰率」「コンバージョン数」などの分析指標が大きく変わります。ボットトラフィックが原因で引き起こされる統計ノイズによって、サイト運営の効果測定も難しくなってしまいます。

本来であれば、PDCAサイクルを回してサイト運営の効率を上げていくものですが、そのような改善施策も効果が出にくくなるので注意しなければいけません。
 

データを抽出して盗まれてしまう

ボットトラフィックは、金融やチケット販売サイトが標的になりやすいです。利用者のログイン・パスワードを解析して盗む目的でボットトラフィックが利用されています。

サイト利用者の情報が盗まれてしまうと、企業に対する信用は大きなダメージを受けることになるでしょう。また、偽りのレビューが公開されるなどの危害も加えられるため、気をつける必要があります。
 

ボットトラフィックの対策方法

ボットトラフィックが集中すると(1)広告費が不正クリックに消費される(2)サイト運営の効果測定が行えない(3)個人情報が盗まれてしまう等の被害を受けます。従って、このような被害を受ける前にボットトラフィックを発見して対策をしましょう。ここでは、ボットトラフィックの対策方法について解説します。
 

Webサイト運営の異常を見つける

ボットトラフィックが集中すると、Webサイト運営にも異常が見られるようになります。下記に該当する異常が見つかった場合は、ボットトラフィックを疑いましょう。
 

・異常に高いページビュー数

前例のないページビュー数が発生した場合、ボットによる不正クリックが発生している危険性があります。
 

・異常に高い直帰率

直帰率が異常に高い場合は、ボットが単一のページを閲覧している可能性があります。
 

・セッション時間の異常

ユーザーがWebサイト内に留まっている時間を表すセッション時間は、比較的一定です。そのため、セッション時間が異常に短かったり、長かったりする場合は不正クリックを疑いましょう。
 

・不審なコンバージョンの増加

偽名や偽電話番号を使用した不審なお問い合わせが増えた場合は、フォーム入力ボットやスパムボットがお問い合わせフォームを入力している恐れがあります。
 

・予期せぬ国からのトラフィック

サイトの母国語を使用しない人が多くいる地域などからのトラフィックが増えた場合は、ボットトラフィックの可能性を示唆しています。
 

IPアドレスを確認してブロックする

Webサイト分析ツールで異常な数値が出た場合は、ボットトラフィックを疑いましょう。ネットワークエンジニアは、Webサイトのトラフィックを見て、不審なネットワークリクエストのIPアドレスを特定してブロックしていきます。規模が小さな場合であれば、手動でボットによる不正アクセスをブロックすることができるでしょう。
 

アドフラウド対策ツールを導入する

不審なネットワークリクエストを1つ1つ確認していく作業は想像以上に大変です。そのため、フィルター処理が行えるアドフラウド対策ツールを導入しましょう。

アドフラウド対策ツールを導入すれば、ブロックすべきIPアドレスを一覧で見ることができます。一覧になっているIPアドレスをブロックするだけで、ボットトラフィック対策が行えます。
 

補足:良質なボットトラフィックの除外方法

良質なボットトラフィックは、Googleアナリティクスのプロパティでボットフィルタリングを設定すれば、簡単に除外ができます。(※悪意のあるボットトラフィックには無効です。)
 

【良質なボットトラフィックの除外方法】

  1. Googleアナリティクスのレポートを開く
  2. 左下の「管理」を押す
  3. 「ビュー設定」を押す
  4. 「ボットのフィルタリング」の下にあるボックスにチェックを入れる。
  5. 「保存」を押す

 

まとめ

今回は、ボットトラフィックの恐ろしさについて解説しました。悪意のあるボットトラフィックはDDoS攻撃の目的で行われており、企業のWeb広告費を消費していきます。

正規のユーザーのクリックではなく、ボットトラフィックによる不正クリックで広告費を消費するのは避けたいものです。そのため、自社サイトがボットトラフィックの標的にされていないかをチェックしてみてください。

どのように対策をすれば良いか分からない方や、悪意のあるボットトラフィックの攻撃がされていないか心配な方は「Spider AF」までご相談ください。
 

 

※ Spider Mediaに掲載されている見解、情報は、あくまでも執筆者のものです。Spider Labsはブログに含まれる情報の正確性について可能な限り正確な情報を掲載するよう努めていますが、必ずしも正確性を保証するものではありません。Spider Mediaの目的は読者への有益な情報の提供であり、執筆者以外のいかなる存在を反映するものではありません。見解は変更や修正されることがあります。