タレス、「悪性ボットレポート（2026年版）」を発表

•  世界のインターネットトラフィックの半分以上をボットが占め、そのうち40%は悪性ボットによるものに

• AIの進化により、「正当な自動化」と「悪意のある自動化」の見分けが困難になり、「誰によるものか」より「何をしようとしているか」が新たな課題に

• APIやIDなどの認証システムが主な標的に。攻撃者はフロントエンドの防御をすり抜け、中核のビジネスロジックを大規模に悪用

タレスはこの度、「2026 悪性ボットレポート：エージェント時代の悪性ボット(2026 Bad Bot Report: Bad Bots in the Agentic Age)」を発表しました。

本年のレポートでは、「AIエージェントという新しいトラフィックの登場」「人間による操作を上回る自動化された活動の存在」「デジタル経済を支えるAPIやIDシステムを狙う攻撃の急増」を浮き彫りにし、インターネットの在り方そのものが激変している状況を指摘しています。

インターネットトラフィックとセキュリティの前提を変えるAI

AIはボット活動の量や性質そのものを大きく変化させています。2025年、AIが主導したボット攻撃は前年の12.5倍に急増しました。また、より重要な点として挙げられるのが、従来の「良性ボット」「悪性ボット」に続く「第3のトラフィックカテゴリ」として、AIエージェントが出現した点です。AIエージェントはアプリやAPIと直接やり取りしながら、データを収集したりタスクを実行したりします。その結果、ボットやAIエージェントなどに代表される機械的な活動である自動化においても、「正当な自動化」と「悪意のある自動化」が入り混じり、組織側がひとつひとつのアクセスの意図を判断することが困難となっています。

 

タレスDISジャパン株式会社 サイバーセキュリティプロダクト事業本部長 兼子 晃は次のように述べています。「AIの進化と普及により、インターネット上の自動化はこれまでにない規模とスピードで広がっています。ボットやAIエージェントはデジタルサービスを支える存在となる一方で、悪意ある攻撃にも利用されており、企業にとってはその活動を正しく把握することがこれまで以上に重要になっています。こうした環境では、単にボットを識別して遮断するだけでは十分とは言えません。自動化されたアクセスの目的や振る舞いを可視化し、『正当な自動化』と『悪意のある自動化』をできる限り把握しながら管理していくことが不可避となっています」

 

こうした変化は、企業が実態を把握できていない領域を増加させるリスクも生み出しています。現在のAI主導によるアクティビティの多くが、未検証のものや、正当なアクセスとの区別がつかないものであり、企業は自ら直面しているリスクを十分に把握できないまま運用している可能性があります。

 

オンライン空間ではボットが人間を上回る存在に

2025年、世界のインターネットトラフィック全体の53%をボットが占め、前年の51%を上回りました。また、そのうち40%が悪性ボットによるもので、人間によるアクティビティは47%に低下しました。これは一時的なブームではなく、大きな構造変化の中にいることを示しています。ボットはスクレイピングやクレデンシャル攻撃のような特定の用途だけに使われるのではなく、あらゆるサービスで常に動いている「当たり前の存在」になりつつあります。

 

APIやIDが主な標的に

デジタルサービスの重要な機能をAPIによって動かす仕組みが広がるにつれ、攻撃者もAPIを狙うようになっています。調査によると、ボット攻撃の27%がAPIを標的にしており、悪意のあるボットがユーザーインターフェースを経由せず、人の追い付かないスピードで直接バックエンドのシステムにアクセスしていることが明らかになりました。

 

こうした攻撃は、形式上は有効なIDやパスワードなどの認証情報を用いたり、正規のリクエストを送ったりするため、「正当な通信」にみなされることがあります。しかし、実際には、サービスのビジネスロジックを悪用しており、機密データを盗み出したり、業務フローを不正に操作したりするケースがあります。

 

特に影響が大きいのが金融業界で、全ボット攻撃の24%、アカウント乗っ取り攻撃（ATO）の46%がそれぞれ同業界を標的としました。自動化が、サイバー攻撃を直接的な収益化手段として使われていることがうかがえます。

 

新時代のマシン主導環境

AIの利用が広がるにつれ、インターネットは今や真に「マシン同士が主導的にやり取りし、相互作用する環境」へと移行しています。ボットは攻撃者が使用するツールではなく、デジタル社会の中で能動的に動き回り、トラフィックパターンを変え、事業の指標に影響を与え、システムとリアルタイムに相互作用する存在となっています。

 

こうした環境において、セキュリティ、パフォーマンス、そして信頼性を維持するためには、オートメーションを高精度かつ大規模に管理する能力が不可欠です。

 

制御不能な自動化の拡大にどう向き合うか

ボットの識別と遮断を中心とする従来型のセキュリティアプローチでは、企業が承認した自動化が広範に利用されている現在の状況に対応することは難しい状況にあります。企業や組織は今後、可視化やポリシー適用、行動分析を組み合わせたガバナンスベースのアプローチが求められ、「正当な自動化」と「悪意のある自動化」を区別することが必要になります。具体的には、どのAIエージェントがどのシステムとやり取りすることができるか明確に定義することや、APIや認証基盤における統制・防御策を実装すること、そしてボットの進化に合わせて適応できる防御策を設計することが挙げられます。

 

日本国内における状況

日本国内における2025年の主なインターネットトラフィックは依然人間によるもの（65%、前年比 +1%）ですが、悪性ボットの割合はトラフィック全体の26％[TM1] [KJ2] を占め、２年前（18%）、前年（23%）と比べ急速に増加しています。また、悪性ボットのうち75%が低度なボットであり、昨年（73%）に続き大きな割合を占めています。

 

業界別にみると、ボットによるトラフィックが最も多い割合を占めたのはマーケティング業界（58%）[KJ3] で、ボット攻撃による最大の標的となった業界は小売業界（34%）でした。アカウント乗っ取り攻撃における最大の標的は金融サービス業界（48%[TM4] [KJ5] ）でした。

 

兼子 晃は次のように述べています。「日本においても悪性ボットの割合は年々増加しており、APIや認証基盤などデジタルサービスの中核を守るための対策の重要性が高まっています。企業は、可視化や行動分析を活用しながら、自動化されたトラフィックを前提とした新しいセキュリティの考え方を取り入れていくことが重要です」

 

調査方法
「タレス 悪性ボットレポート（2026年版）」では、タレスのThreat ResearchチームとSecurity Analyst Servicesチームが収集・分析した、2025年通年のボットの活動データに基づいています。調査を通じ、AIを活用した自動化が、アプリケーションセキュリティやAPIの露出、およびデジタルインフラをどのように再形成しているか、世界規模で分析しています。 

タレスグループについて

タレス（本社：フランス・パリ、Euronext Paris: HO）は、防衛、航空・宇宙、サイバー・デジタル分野における、先端技術のグローバルリーダーです。主権、セキュリティ、サステナビリティ、インクルージョンなどの課題に対し、革新的な製品とソリューションで応えてまいります。

タレスグループは、AI、サイバーセキュリティ、量子技術、クラウド技術など主要分野における研究開発に関して、年間45億ユーロ近くを投資しています。65か国に8万5,000人の従業員を擁するタレスの2025年度売上高は、221億ユーロを記録しています。