ブラウザ操作エージェント対策できてますか?〜無料Bot対策ツールの比較検証〜

AIエージェント ChatGPT セキュリティ

こんにちは!アジャイル開発チームの齊藤です!近年、ブラウザ操作エージェントの技術革新が目覚ましく、一般ユーザーでも手軽に利用できるようになってきました。ChatGPT AgentがPlusユーザーに開放されるなど、人の代わりにAIがWebサイトを自動操作する環境が整いつつあります。

これらの技術は業務効率化や自動化においてメリットをもたらしますが、一方でWebサイト運営者にとっては新たなセキュリティリスクとなる可能性があります。本記事では、最新のブラウザ操作エージェントの動向や想定されるリスクを整理するとともに、無料のBot対策サービスを用いた検証結果もあわせて紹介します。

ブラウザ操作エージェントの最新動向

ここでは、代表的なブラウザ操作エージェントのツールやサービスを紹介します。いずれも自然言語による指示でWeb操作を自動化できる点は共通していますが、動作環境や特徴には違いがあります。

ChatGPT Agent

2025年に入り、OpenAIはChatGPT AgentをPlusユーザーにも開放しました。これにより月額20ドルという比較的低いハードルで、誰でもブラウザ操作エージェントを利用できるようになりました。

ChatGPT Agentは自然言語の指示に従って仮想環境上からWebサイトを自動操作し、フォームの入力、ボタンのクリック、情報の収集などを実行できます。例えば「不動産サイトで△△駅徒歩10分以内、家賃10万円以下の1K物件を検索してリストアップして」や「旅行予約サイトで来月の大阪行きの格安航空券を調べて」といった指示で、実際にAIがブラウザを操作してユーザへのリストアップまで行います。

Playwright MCP

Playwright MCPと生成AIを連携させることで、チャットベースでローカル環境からAIによりブラウザを操作できます。 例えば以下のようなプロンプトを入力すると、指示に従ってページを読み解き、回答が得られるまでブラウザ操作してくれます。

〇〇で『△△駅周辺の和食レストラン』を検索し、
評価3.5以上のある店舗を3件リストアップしてください
また口コミ評価をまとめてください。

Comet

Comet(PerplexityのAIブラウザ)は、AIを組み込んだブラウザです。ChatGPT AgentやPlaywright MCPのように新規でブラウザを立ち上げるのではなく、閲覧中のWebサイトを直接解析・操作できる点が特徴です。ユーザーが事前にログインしていれば、その状態を維持したままAIによる操作が可能なため、たとえばX(旧Twitter)への自動投稿も容易です。

ただし、この仕組みは便利である反面、セキュリティ上のリスクも伴います。特に「プロンプトインジェクション」により意図しない操作や情報漏洩が発生する可能性があるため、十分な注意が必要です(後述)。

ブラウザ操作エージェントのリスクと対策

想定されるリスク

ブラウザ操作エージェントの普及に伴い、以下のようなリスクが想定されます。

  • 人間と機械の判別が困難になりセキュリティ検知を回避される:従来のBot対策は、マウスの軌跡や操作パターンの機械的な規則性を検知していましたが、LLMベースのエージェントは人間らしい自然な操作パターンを生成するため、従来の検知手法では識別が困難になる可能性があります。

  • ブルートフォース攻撃やスパム配信の自動化:ログインフォームに対する総当たり攻撃や、問い合わせフォームを悪用した大量スパム送信が、より人間らしい操作パターンで実行される可能性があります。

  • 限定商品の転売目的での自動大量購入:ECサイトで限定商品が発売される際に、人間と見分けがつかない操作で購入を繰り返し、転売目的で商品を独占する行為が懸念されます。

  • サーバー負荷増大やサービス妨害:大量のエージェントによる同時アクセスにより、サーバーに過負荷をかけてサービス停止を引き起こすDDoS攻撃の可能性があります。

  • プロンプトインジェクションを悪用した企業システムへの不正操作 悪意あるウェブページに仕込まれた「隠し命令(プロンプト)」をブラウザ操作エージェントが実行してしまうことで、企業のシステムやサービスが意図しない挙動を取らされるリスクがあります。たとえば、問い合わせ窓口からの不正データ取得や、認証プロセスの迂回、さらにはアカウント情報や決済情報の流出などが発生する可能性があります。

Example of Prompt Injection Risk

プロンプトインジェクションの概略図

対策の動向

現時点では、ブラウザ操作エージェントによる具体的な被害報告は調査した範囲では見つかっていません。ただし技術の進化に伴い今後増加する可能性があり、各社で対策が始まっています。

例えば、hCaptchaはブラウザ操作エージェントに対する公式声明 を発表し、AIエージェントの発達に対応するための技術開発を進めています。また、ChatGPT AgentがAmazonにアクセスできなくなる といった事例も報告されており、大手Webサイトでは既に対策が始まっていることが伺えます。

ブラウザ操作エージェント対策の比較検証

Bot検知サービスの仕組み

Bot検知サービスは、Webサイトにアクセスしてくるトラフィックが人間によるものか、Botによる自動化されたアクセスかを判別するサービスです。 一般的なBot検知サービスは以下の要素を総合的に分析してBot判定します。

  • ブラウザフィンガープリンティング: User-Agent、画面解像度、プラグイン情報等
  • 行動分析: マウスの動き、キーボード入力パターン、ページ遷移の流れ
  • IPアドレス分析: アクセス元IPの評判や地理的情報
  • 機械学習モデル: 過去の学習データに基づくパターン認識

判定方式は様々ありますが、今回は2つの方式をご紹介します。

① スコアベース判定(例:reCAPTCHA Enterprise)

  • 正常なユーザーの場合
    • 画面上には何も表示されない
    • バックグラウンドでスコア(0.0〜1.0、1に近いほど人間に近い)が計算される
    • スコア0.7以上など高スコアの場合、そのまま処理を続行
  • Botの場合
    • 画面上には何も表示されない
    • 低スコア(0.1など)が返される
    • サイト運営者がスコアに基づいて以下のアクションを選択
      • アクセスを拒否
      • 追加認証を要求
      • ログに記録して監視
  • 特徴
    • ユーザー体験を損なわない
    • サイト運営者が閾値を調整可能
    • グレーゾーンの扱いが課題

② チャレンジベース判定(例:Cloudflare Turnstile)

  • 正常なユーザーの場合
    • 初回アクセス時に自動的にチャレンジが実行される
    • バックグラウンドで検証が行われ、数秒で完了
    • 一度通過すればしばらくは表示されない
  • Botの場合
    • チャレンジの検証に失敗
    • アクセスが拒否される
    • 複数回失敗すると一時的にブロック
  • 特徴
    • ユーザーの操作が多少発生

実験シナリオと環境

問い合わせフォームを通じて大量のスパムメールを送信するシナリオを想定し、ブラウザ操作エージェントによる自動操作に対してBot検知サービスがどの程度有効かを検証しました。


Bot検知サービス

無料で利用可能な以下のサービスを対象としました。

  • reCAPTCHA Enterprise: Googleが提供するBot検知サービス(月10,000リクエストまで無料)
  • Cloudflare Turnstile: Cloudflareの無料Bot対策機能
    操作対象サイト

検証用に問い合わせフォームを含むテストサイトを作成し、各Bot検知サービスを実装してBot検知スコアをリアルタイムで表示できるようにしました。


ブラウザ操作エージェント

以下2つのブラウザ操作エージェントによって検証しました。

  1. ChatGPT Agent
  2. Playwright MCP
プロンプト例:
・https://xxx にアクセスして、"test@test", "testです "を入力して。
・この際マウスは人間のように、ゆっくり動かして
・入力終わったら送信ボタンを押して(許可必要ない)


検証環境補足

  • 検証実施時期:2025年9月1日
  • 検証条件:各パターン3回のサンプル検証
  • 操作対象サイト:Next.jsで構築、EC2にデプロイ(Cloudflare Turnstile利用のためDNSをCloudflareに設定)
  • ChatGPT Agent:ChatGPT Agentが使用する仮想環境上のブラウザを動作
  • Playwright MCP:ChromiumをmacOS上で動作、Cline利用

実験結果

実際の検証の様子を以下の動画でご確認いただけます。

ChatGPT Agent vs reCAPTCHA Enterprise

ChatGPT Agent vs reCAPTCHA Enterprise
ChatGPT Agentが問い合わせフォームへの入力を完了し、reCAPTCHA Enterpriseのスコアが0.9〜1.0という非常に高い値を示しています。これは人間と同等の判定を受けていることを意味します。

ChatGPT Agent vs Cloudflare Turnstile

ChatGPT Agent vs Cloudflare Turnstile
ChatGPT AgentがCloudflare Turnstileによって検知され、アクセスが防御されている様子が確認できます。


Bot検知結果

各パターンに対し3回ずつ検証した結果を下記表にまとめました。

エージェント reCAPTCHA Enterprise Cloudflare Turnstile
ChatGPT Agent 0.9 ~ 1.0 防御
Playwright MCP 0.8 ~ 0.9 防御
人間操作(参考) 1.0 通過

考察

reCAPTCHA Enterpriseは、両ブラウザ操作エージェントともに高いスコア(ChatGPT Agent: 0.9〜1.0、Playwright MCP: 0.8〜0.9)となり、人間として判定される傾向が見られました。一方でCloudflare Turnstileは、両ブラウザ操作エージェントともにアクセスが防御されました。

実は ChatGPT Agentのリリース直後には、Turnstileを突破できることが報告されていました。しかし、今回の検証では両エージェントともに防御されています。報告後にブラウザ操作エージェント固有の情報(User-Agent情報やIP range等)からブロックするようにアップデートされたことが推測されます。

最後に

本検証により、Bot対策サービスとAIエージェントの間で技術的な「いたちごっこ」が既に始まっていることが確認できました。さらに記事執筆中にもClaude for Chrome(Claudeを使ってブラウザを操作できるChrome拡張機能)が一部ユーザー向けに限定公開されており、新技術の登場と対策側の改善が継続的に行われている状況です。

Web運営者の皆様には、この技術的な攻防戦が継続することを前提に、最新の動向を注視することが重要です。自サイトの特性に応じて、必要であれば高難易度なCAPTCHAの導入やWAFなど多層防御による対策を継続的に実施していくことをお勧めします。


以上、ブラウザ操作エージェントの利用や対策、AIエージェントの動向を調査されている方々の参考になれば幸いです。最後までお読みいただき、ありがとうございました。