検索エンジンがサイト検索情報を収集する「クローラー」や、さまざまな情報を収集する「ロボット」など、インターネット上ではBotが多数使われており、今ではインターネット上のトラフィックの約40％を占めているといわれています。

　Botはプログラムで簡単に作ることができるため、悪意のあるアクセスにも多く使われており、Botトラフィックの過半数は悪意あるBotによるものだとみられています。

　従来、悪意あるBotはDDoS（分散型DoS）攻撃や、スパムメールなどの配信に使われてきましたが、近ごろでは、転売などを目的としたECサイトにおけるレア商品・キャンペーン商品・チケットの買い占め、広告の閲覧数・クリック数の不正な水増し、盗まれたユーザー情報を使った不正ログインなどに使われることが増えてきています。これらの攻撃はWebを使ったビジネスに大きな影響を及ぼすものであり、何らかの対策が必要となっています。

　このようなWebサイトに対するBot対策の難しさは、Botが正しい方法でWebサイトにアクセスしてくる点にあります。つまりWAF ^＊2 などでは検知することが難しく、Webサイト側で、人によるアクセスなのか、Botによるアクセスなのかの判別がつきません。

　そこで、Bot対策としてよく使われているのがCAPTCHA ^＊3 による識別です。ご存じの方も多いと思いますが、CAPTCHAはユーザーに画面表示した文字などを入力させることでBotを排除します。しかし、毎回ユーザーに余分な入力を強いることは、UX ^＊4 の低下につながる恐れがあります。さらに、近ごろはCAPTCHAをクリアするBotもあり、CAPTCHAによる認証だけではUXの低下を招くだけでなく、Bot対策として十分ではない可能性も考えられます。

＊2　Web Application Firewall

＊3　Completely Automated Public Turing test to tell Computers and Humans Apart

＊4　User Experience