タレス(Thales)は、Impervaによるインターネット全体における自動化ボットトラフィックのグローバル分析「悪性ボットに関する報告(2025年版)」を発表した。
12回目となる今回の年次調査では、生成AIがボットの開発に革命をもたらし、スキルを持たない攻撃者でも高頻度かつ大量のボット攻撃を仕掛けることが可能になったことが明らかに。攻撃者は、商業化されたボットサービス「Bots-As-A-Service(BaaS)」 のエコシステムが拡大する中で、AIを活用して過去の失敗例を分析し、より効率化された手法でセキュリティ対策を回避する手口を向上させているとのことだ。
2024年、自動化されたボットによるトラフィックは全トラフィックの51%と半数を超え、過去10年の調査で初めて人間によるトラフィックを上回ったという。この変化の大きな要因になっているのが、AIやLLMの台頭だとしている。
全インターネットトラフィックに占める悪性ボットの割合は全体の37%を占めており、前年(32%)から大きく増加。なお、この悪性ボットの割合は6年連続で増加しているとのことだ。
業界別にみると、旅行(27%)、小売(15%)の順に多くの悪性ボット攻撃を受けており、旅行業界は前年の21%から上昇。また、これらの業界では高度な悪性ボットによる攻撃に直面しており、悪性ボット全体のうち、旅行業界では41%、小売業界では59%がそれぞれ高度な悪性ボットによるトラフィックだという。
2024年における最も顕著な傾向として、旅行業界に対する高度なボット攻撃の割合が前年の61%から41%に減少した一方、同業界に対する低度なボット攻撃は、前年の34%から52%に急増したとのこと。この変化は、AIを活用した自動化ツールが技術的なハードルを下げ、高度な技術を持たない攻撃者でも容易に単純なボット攻撃を実行できるようになったことを示しているという。サイバー犯罪者たちは、高度な攻撃の手法だけに依存せず、大量の低度なボットを旅行サイトに送り込み、攻撃の頻度と規模を拡大させているとのことだ。
なお、日本国内における全インターネットトラフィックに占める悪性ボットの割合は全体の23%で、昨年(18%)から増加。また、悪性ボットの7割以上は低度なボット(73%)で、昨年(46%)から大幅に上昇していることから、日本国内においても生成AIによってボット攻撃のハードルが下がっている状況がみられるという。高度な悪性ボットの割合は13%で、他国に比べ低い割合だが、昨年(5%)からは増加している。
AI駆動型ボットの台頭
Imperva Threat Researchチームによれば、広く使用されているAIツールがサイバー攻撃目的で活用されているとのこと。AI攻撃のうち、ByteSpider Botによるものが全体の54%を占め、他にも、AppleBot (26%)、ClaudeBot(13%)、ChatGPT User Bot(6%)がこうしたAI活用型攻撃に寄与しているという。
APIのビジネスロジックを標的とした悪性ボットが脅威を増大
APIを標的とした攻撃が大幅に増加しており、高度な悪性ボットトラフィックの44%がAPIを標的にしているとのこと。これらの攻撃は、単にAPIエンドポイントをオーバーロードさせるだけでなく、APIの動作を定義する複雑なビジネスロジックを狙っているのが特徴だという。攻撃者は、APIのワークフローに潜む脆弱性を利用するように設計されたボットを投入し、自動化された不正決済、アカウント乗っ取り(ATO)、データの不正流出といった攻撃を行うとしている。
サイバー攻撃者たちは、機密性が高く価値のあるデータを扱うAPIエンドポイントを標的とした意図的な攻撃戦略を持っているという。この傾向は、重要な業務や取引をAPIに依存している業界にとって、特に深刻な影響をもたらしているとのことだ。金融サービス、ヘルスケア、そしてEコマース業界は、こうした高度なボット攻撃の影響を最も強く受けているという。
金融、ヘルスケア、Eコマース業界はリスクの高まりに直面
金融、ヘルスケア、そしてEコマースは、悪性ボットの特に影響を受けている分野であり、いずれも重要な業務や機密性の高い取引にAPIを活用しているため、高度なボット攻撃の格好の標的になっているという。
金融業界は、アカウント乗っ取り(ATO)攻撃において最も標的とされた業界であり、同攻撃全体のうち22%を占めたとのこと。次いで、通信事業者およびインターネットサービスプロバイダー(ISP)が18%、コンピューティングおよびIT分野が17%という結果に。銀行、クレジットカード会社、フィンテックプラットフォームなどは、クレジットカード番号や銀行口座情報を含む膨大な量の個人識別情報(PII)がダークウェブにおいて高値で取引されている。また、業界内でのAPIの急速な普及によって攻撃対象領域が広がり、認証や認可方法などの脆弱性が利用されやすくなることで、アカウント乗っ取りやデータ窃取のリスクが高まっているという。
【関連記事】
・デジタルサービスに対する信頼度が低下 8割の消費者が個人情報を懸念しサービス離れる──タレス調査
・AIは「幻滅期」に突入か──タレス、2025年のセキュリティトレンド予測を発表
・タレス、ダウンタイムなしでデータ暗号化を実装する新機能を提供開始
