AIエージェントは新たな不正ベクトルです。あなたの検知がおそらくそれを見逃す理由。
LLM駆動のエージェントは本物のブラウザを操作し、ページについて推論し、表面上は人間に見えます。スクリプトボットを捕捉していた行動シグナルやCAPTCHAのシグナルは、それらに対して明らかに弱くなっています。
過去10年の大半において、「ボット検知」は自動化を人間と区別することを意味していました。ギャップが大きかったため、シグナルは明確でした。ボットにはマウスの揺れも、読むための間も、文脈の認識もありませんでした。どこを見ればよいかを知っていれば、それらは明白でした。
そのギャップは狭まりつつあります。不正チームが2026年に理解すべき脅威カテゴリは、LLM駆動のエージェント、つまり大規模言語モデルの上に構築され、これまでのどの世代のボットよりも人間の認知に近い形で、読み、推論し、決定し、行動できる自動化です。スクリプトベースのボットに対して機能していた検知シグナルは、人間の行動で訓練されたエージェントに対しては明らかに効果が薄くなります。
これは将来の脅威についての推測ではありません。エージェント駆動のトラフィックはすでにあなたの不正ログの中にあり、その大半は「本物のユーザー」または「高度なボット」のいずれかとして誤ってラベル付けされています。このトラフィックの構成は変化しています。持ちこたえる検知のアプローチは、大半のプラットフォームが導入しているのとは異なるアーキテクチャモデルを必要とします。
本稿は、エージェント駆動の自動化について実際に何が異なるのか、なぜそれが不正防御にとって重要なのか、そしてそれに対してどのような検知パターンが機能するのかを理解しようとするセキュリティとプロダクトの責任者に向けたものです。
不正の文脈でAIエージェントとは実際に何なのか
「AIエージェント」という語は緩く使われます。不正の文脈で意味のある定義は、次の3つの基準を満たす自動化です:
- ハードコードされたスクリプトではなく、意思決定のために言語モデル(GPT-4、Claude、Geminiなど)に駆動される。
- 本物のブラウザ環境を操作する。通常はChrome、Firefox、Safariのヘッドレスまたはヘッド付きのインスタンスで、多くの場合ブラウザ自動化のために設計されたクラウドインフラ上で実行される。
- 予期しないページ状態(エラーメッセージ、レイアウトの変更、追加の検証ステップ)に、開発者がスクリプトを更新する必要なく適応できる。
この組み合わせは、旧来の自動化とは質的に異なります。記録されたマクロに従うスクリプトベースのボットは、ページが変わった瞬間に失敗します。エージェントはページを読み、自分が何を見ているかを理解し、アプローチを調整します。第一世代は正規のユースケース(ウェブリサーチ、アクセシビリティテスト、自動ブラウジング)のために構築されました。第二世代には、これらのツールを大規模に不正に適用する運用者が含まれます。
なぜ旧来の検知シグナルはエージェントに対して弱いのか
従来のボット検知のツールキットは、自動化を人間と区別するシグナルに依存しています。エージェントは各シグナルの強度を変えます。
行動シグナル。マウス移動のエントロピー、キーストロークのダイナミクス、スクロールのパターン。本物の人間には自然なばらつき(揺れ、ためらい、エラーの修正)があります。スクリプトベースのボットには、ばらつきがまったくない(完全に真っ直ぐな線、瞬時のフォーム入力)か、統計的に検知可能な生成されたばらつきのいずれかがあります。
本物のブラウザを操作するエージェントは、より人間らしいパターンを生み出す傾向があります。実際のブラウザの入力シミュレーション(しばしばランダム化されたもの)を使います。根底にあるモデルが視覚やDOMのコンテンツを処理する必要があるため、ページを「読む」のに時間をかけます。行動シグナルは依然として存在しますが、よりノイズが多く、抽出するにはより高度な解析を必要とします。
CAPTCHA。現代のCAPTCHA解決サービスは、1チャレンジあたり約0.001ドルで大規模にCAPTCHAを破ることが常に可能でした。エージェントはそれをネイティブに行います。汎用のGPT-4oやClaudeは、画像ベースのCAPTCHAを見て、何をクリックすべきかを高い精度で特定できます。エージェントに対するCAPTCHAの防御的価値はほぼゼロです。
速度ルール。1分あたりのアクションに対する固定のしきい値。スクリプトベースのボットは、速度への最適化がすべての目的であるため、これらを激しく違反する傾向があります。エージェントは、根底にあるモデルが人間の行動(自然なペース配分を持つ)で訓練されているため、意図的に速度を落とします。速度ルールは、大量運用向けに設定されている場合にのみエージェントを捕捉します。
単純なフィンガープリンティング。canvasハッシュ、フォント、User-Agent文字列の静的なリスト。本物のブラウザを実行するエージェントは、これらすべてに正規の値を生み出します。フィンガープリントが正しく見えるのは、実際に正しいからです。エージェントは本物のブラウザを使っており、そのブラウザは自らが本当に何であるかを報告しています。
パターン:「自動化は人間とは異なって見える」に基づくシグナルは、自動化がより人間に見えるようになるにつれて弱くなります。
依然として機能するシグナル
エージェントに対する検知には、表面上の行動がどれほど人間らしく見えても、自動化が容易に隠せないシグナルが必要です。
ネットワーク層のシグネチャ。エージェントは通常、クラウドインフラ(AWS、GCP、Azure、または専門のブラウザ自動化サービス)上で実行されます。そのIPレンジは識別可能です。TCP/TLSフィンガープリントは一般消費者のISPとは異なります。サーバー側で観測可能なシグナルは、クライアント側が何を主張しようとも、大半のエージェントのトラフィックを捕捉します。
ブラウザ・アズ・ア・サービスの製品を特に運用するベンダー(Browserbase、Anchor、Steel.devなど)には、識別可能なネットワークシグネチャがあります。レジデンシャルISPからの本物のユーザーは、クラウド環境で実行されるエージェントとは、ネットワーク層で異なって見えます。これは2026年において最も信頼できる単一のシグナルです。
微妙なデバイスフィンガープリント。本物のGPUは、ピクセル単位で偽造するのが困難な浮動小数点のパターンを生み出します。仮想化された環境やクラウドのGPUインスタンスは、わずかに異なるパターンを生み出します。AudioContextフィンガープリンティングは、物理ハードウェアと仮想化されたハードウェアの間の音声処理の差異を明らかにします。リアルタイムクロックのずれは、ローカルネットワーク上の一般消費者デバイスと、高品質なNTPサーバーに同期されたクラウドインスタンスとの間で異なります。
個々のシグナルは小さなものです。130以上のプローブにわたって組み合わせると、それらは一貫した全体像を生み出します。「これは本物の消費者デバイスに見える」か、それとも「User-Agentが何を主張しようとも、これはクラウドホストされたブラウザ環境に見える」か、です。
セッション横断のリンク。エージェントの運用は、しばしば1つの根底にあるシステムが多数のセッションを制御することを伴います。各セッションが固有のデバイスフィンガープリントを持っていても、セッションをまたいだ行動の相関(同一のタイミングパターン、同一の意思決定、エラーに対する同一の反応)が協調を露呈させます。
サーバー側の一貫性チェック。エージェントは個々のシグナルを偽装できます。すべてのシグナルにわたって一貫性を維持することは、劇的に困難です。JavaScript環境が「macOS上のChrome 120」を主張するのに、ネットワークフィンガープリントがAWS上のLinuxサーバーを示すなら、それはクライアントが可視性を持たず、したがって修正できない不整合です。
ポリモーフィックな検知。毎日変わるクライアント側の検知コードは、エージェントがそれに対して事前訓練する能力を奪います。静的なプローブはリバースエンジニアリングされますが、ローテーションするプローブはされません。
アーキテクチャのパターン:複数の弱いシグナルを一貫性チェックと組み合わせることが、単一の強力なシグナルに勝ります。単一の強力なシグナルは破られます。50個の弱いシグナルとそれらの間の一貫性の要件との組み合わせは、回避にはるかに長く抵抗します。
エージェント駆動の攻撃は実際にどのようなものか
2026年のトラフィックで観察される3つのパターン:
パターン1:アカウント作成のファーミング。エージェントが大規模にアカウントを作成し、メール検証、KYCのステップ、初期のプロダクトオンボーディングを完了させます。各アカウントは下流での価値の抽出(ボーナス請求、無料プランの悪用、エアドロップのファーミング、コンテンツのスクレイピング)を意図しています。エージェントは、以前は粗雑なスクリプト(容易に捕捉される)か人力(高価)のいずれかを必要とした作業を行います。
金銭的な単位経済性は攻撃者に有利です。エージェントの運用は、コモディティのクラウドインフラ上で1,000の同時ブラウザセッションを1時間あたり50ドル未満で実行できます。成功した各アカウントには何らかの価値があります(iGamingのウェルカムボーナスで50〜500ユーロ、SaaSの無料プラン悪用で10〜100ドル、暗号資産のエアドロップではさらに高額)。アカウントあたりの限界費用がゼロに近づく一方で、限界価値は意味のあるものにとどまります。
パターン2:適応ロジックを伴うクレデンシャルスタッフィング。旧来のクレデンシャルスタッフィングのツールは、ブルートフォースの速度でログインエンドポイントに認証情報のペアを浴びせます。現代のエージェント駆動のアプローチは、より慎重にテストし、CAPTCHAが現れたら処理し、最初のログインが失敗したら復旧フローに移動し、攻撃的な防御を発動させないよう各「成功した」認証情報をより慎重に扱います。
認証情報あたりの成功率は旧来の手法と同様です。検知の難易度はより高くなります。エージェントがブルートフォースの運用に見えず、正常なペース配分の一連の正常なログイン試行に見えるからです。
パターン3:プロモーションコードの悪用とコンテンツのスクレイピング。最もペースの遅いエージェントの攻撃です。エージェントはプロダクトのページを訪れ、プロモーションコードを適用し、価格を取得し、コンテンツを取得し、退出します。IPあたりのボリュームはささやかです。セッションあたりのボリュームは小さいです。シグナルは微妙ですが、その総コスト(競合インテリジェンスの喪失、プロモーション予算の枯渇、コンテンツの窃取)は大きなものです。
これら3つのパターンには共通の防御上の課題があります。アクションごとの特徴が人間に見えるのです。検知には、多数のセッションにわたる総体的なパターンを見るか、あるいはエージェントが容易に偽造できない、より深い層(ネットワーク、ハードウェア、一貫性)を見るかのいずれかが必要です。
これがあなたのチームにとって意味すること
プラットフォームの種類にかかわらず重要な3つの所見:
所見1:あなたが追跡してきたボット検知のスコアは、実際の脅威を過小に示している可能性があります。大半のプラットフォームは、エージェントのトラフィックが発動させないシグナルを使って「ボットトラフィック」を計測しています。多くのプラットフォームでスコアが低下または横ばいなのは、脅威が縮小しているからではなく、計測が新しいカテゴリを見逃しているからです。
所見2:旧来のシグナルモデルの上に構築されたベンダーはさらされています。あなたの検知ベンダーのマーケティングが主要な差別化要因として行動解析を強調しているなら、そのアーキテクチャがエージェントのトラフィックをどう扱うかについて厳しい質問をしてください。多くのベンダーは、このカテゴリで数か月から数年遅れています。
所見3:正しいアーキテクチャは単一の層ではありません。ネットワーク層の検知だけでは、レジデンシャルプロキシのインフラ上で実行されるエージェントを見逃します。デバイス層の検知だけでは、物理ハードウェア上で実行されるエージェントを見逃します。守りやすいアーキテクチャは、層を一貫性チェックと組み合わせます。
この移行をうまく扱うプラットフォームには共通のパターンがあります。検知を、導入された製品ではなく継続的な能力として扱います。四半期ごとに計測し、月ごとにルールを調整し、静的なSaaS契約ではなく継続的なR&Dを含む関係を検知ベンダーと持ちます。
今後18か月
このカテゴリがどう進化するかについての3つの予測:
予測1:エージェントのトラフィックのシェアが拡大します。2025年の1桁パーセントから、2026年末までに2桁パーセントへ向かいます。経済的なインセンティブが拡大に有利です。エージェントのインフラのコストは下がり続け、エージェントの能力は向上し続け、自動化された不正の価値は投資を引きつけ続けます。
予測2:専門のエージェントプラットフォームが登場します。汎用のLLMベースの自動化は第一波です。第二波は、特定の不正カテゴリ向けに専用に構築されたエージェントです。ボーナスファーミングのエージェント、クレデンシャルスタッフィングのエージェント、エアドロップファーミングのエージェント。それぞれが特定の目的に最適化され、汎用のエージェントよりも検知が困難です。
予測3:防御側の対応が特定のアーキテクチャのパターンを中心に収束します。層をまたいだ一貫性チェックとポリモーフィックなクライアント側コードを伴う多層的な検知が標準になります。今後18か月でこのアーキテクチャを提供しないベンダーは、それを提供するベンダーに対して競争力を失います。
この脅威に先手を打つための窓は、おおよそその18か月の期間です。窓の早い時期に効果的な検知を導入するプラットフォームは、エージェントのトラフィックが脅威面を支配するまで待ってから後付けしなければならないプラットフォームよりも、たやすい道を歩みます。
Tracioが果たす役割
エージェント検知は、2026年におけるTracioの主要なR&D投資の1つです。そのアーキテクチャは、エージェントに対して持ちこたえるシグナルの層をカバーします。ネットワークシグネチャ(既知のクラウドホストされたブラウザ環境を含む)、デバイスの一貫性チェック(主張された環境にかかわらず仮想化されたハードウェアを捕捉)、行動バイオメトリクス(高度なエージェントでも依然として区別する、ミリ秒未満のパターン)、そして顧客横断のシグナル共有(複数のプラットフォームにまたがる協調的なキャンペーンを捕捉)です。
ポリモーフィックなJavaScriptの層は、静的なプローブに対して回避を事前訓練する能力をエージェントから奪います。サーバー側の判定はすべてのシグナルを統合し、根拠を付してALLOW、CHALLENGE、BLOCKの決定を50ミリ秒未満で提供するため、あなたのチームは検証と調整ができます。
導入は迅速です。ページ上に1つのSDK、各重要な判断ポイントで1つのサーバー側のverify呼び出し。無料プランは月2,500回の検証をカバーし、有意義なパイロットを実行して自社のトラフィックに実際に何があるのかを確認するのに十分です。
自社のトラフィックの何パーセントがエージェント駆動なのか、気になりませんか?
無料トライアルを始める
。2,500回の検証が無料、クレジットカードは不要です。
デモを予約
して、自社の具体的な脅威面を詳しく検討し、自社プラットフォームのエージェントトラフィックのベースライン推定を入手してください。