タレスDISジャパンは、年次報告書「悪性ボットに関する報告 2025年版」を発表した。これによると、インターネットトラフィックにおいてボットが初めて人間を上回り、AIの利用拡大に伴うサイバー脅威の拡大もより明確になった。
報告書は、Thales傘下のImpervaがインターネットにおける自動化ボットのトラフィックを分析した結果を取りまとめたもの。2024年の状況を対象にした2025年版は12回目となる。
最新版では、2024年に自動化されたボットによるトラフィックが全トラフィックの51%を占め、過去10年の調査で初めて人間によるトラフィックを上回った。この要因がAIや大規模言語モデル(LLM)の台頭にあるといい、サイバー犯罪者がこれらの技術を使って悪質なボット(悪性ボット)を作成、拡散する傾向も強まっているとした。悪性ボットのトラフィックは、全トラフィックの37%を占め、2023年から5ポイント増加。増加は6年連続という。
悪性ボットの攻撃を受けた業界は、旅行(27%)や小売(15%)が多く、旅行は2023年の21%から上昇した。一方で、旅行業界に対する高度なボット攻撃の割合は前年の61%から2024年は41%に低下し、低度なボット攻撃が34%から52%に上昇するなど質的な変化があった。これは、AIを使った自動化ツールで技術レベルが低い犯罪者でも簡単に低度なボット攻撃を仕掛けられるようになったためだという。
AIの利用拡大に伴うサイバー脅威も拡大した。報告書によれば、一般的なAIツールがサイバー攻撃目的で使われた割合は「ByteSpider Bot」(54%)、「AppleBot」(26%)、「ClaudeBot」(13%)、「ChatGPT User Bot」(6%)といった状況だった。
また、APIを標的にするサイバー攻撃も大幅に増加し、高度なボット攻撃によるトラフィックの44%がAPIを狙ったものだった。この種の攻撃は、単にAPIのエンドポイントをオーバーロードさせるだけでなく、API動作を定義する複雑なビジネスロジックを狙っているといい、これに潜んで不正な決済やアカウントの乗っ取り、データの流出などを図ろうとしている。特にAPIの依存度が高い金融、ヘルスケア、ECがこうした攻撃の影響を最も強く受けていた。
なお、日本のインターネットトラフィックに占める悪性ボットの割合は23%で、2023年の18%から増加。低度な悪性ボット攻撃の割合は、46%から73%に大幅上昇。ただし、高度な悪性ボット攻撃も5%から13%に上昇しており、他国より割合が低いが注視すべき傾向にあった。
