問い合わせフォームのスパム対策完全ガイド｜4層防御で迷惑メールを完全ブロック

問い合わせフォームのスパムが止まらない？

コーポレートサイトの問い合わせフォームに、毎日大量のスパムメールが届いていませんか？営業メール、フィッシング、SEO業者からの自動送信など、本来の問い合わせが埋もれてしまうケースは少なくありません。特にフォームがHTMLベースでサーバーサイドの保護がない場合、ボットによる自動送信の格好のターゲットになります。

スパムボットの手口を理解する

フォームスパムの大半はボット（自動プログラム）によるものです。ボットはWebページのHTMLを解析し、input要素を見つけて自動的に値を入力・送信します。人間が操作するのではなく、1秒以内にフォームを完成させ、1つのIPアドレスから数百件のリクエストを送信します。この特性を逆手に取ることが、効果的なスパム対策の鍵となります。

第1層：ハニーポットフィールド

ハニーポットとは、CSSで非表示にしたダミーのフォームフィールドのことです。人間には見えませんが、ボットはHTMLを解析してすべてのフィールドに値を入力するため、このフィールドに値が入っていればボットと判定できます。実装も簡単で、ユーザー体験に一切影響を与えないのが大きなメリットです。 たとえば「website」という名前の非表示フィールドを追加し、このフィールドに値が入っている送信はサイレントに無視する（成功レスポンスを返すがDB保存しない）という方法が一般的です。

第2層：時間ベースの検知

人間がフォームに入力するには通常10秒以上かかりますが、ボットは瞬時に送信します。フォームの読み込み時刻を記録し、送信までの経過時間が3秒未満であれば自動送信と判断してブロックします。この方式はJavaScriptで簡単に実装でき、ボットの大半を排除できます。

第3層：IPベースのレート制限

同一IPアドレスからの短時間の大量送信を防ぐため、レート制限を設けます。例えば「1分間に5回まで」というルールを設定すれば、ボットによる連続攻撃を効果的にブロックできます。正当なユーザーがこの制限に引っかかることはほぼありません。

第4層：CAPTCHA認証（Cloudflare Turnstile）

最後の砦として、CAPTCHA認証を導入します。従来のreCAPTCHAは「画像を選択してください」という煩わしい操作が必要でしたが、Cloudflare Turnstileは完全に透過的に動作し、ユーザーに一切の操作を求めません。バックグラウンドでブラウザの挙動を分析し、人間かボットかを自動判定します。 reCAPTCHAの代替として注目されているTurnstileは、無料で利用でき、プライバシーにも配慮した設計になっています。

4層防御を手軽に実現する方法

上記の4層すべてを自力で実装するのは、意外と工数がかかります。FormShieldは、ハニーポット・時間ベース検知・レート制限・Cloudflare Turnstileの4層防御を標準搭載した埋め込み型フォームサービスです。1行のコードをWebサイトに追加するだけで、これらの対策がすべて有効になります。 さらに、問い合わせが届いた際にSlack・LINE・Chatwork・Discordへリアルタイム通知する機能も備えており、フォームのスパム対策と業務効率化を同時に実現できます。

まとめ

問い合わせフォームのスパム対策は、単一の手法では不十分です。ハニーポット、時間ベース検知、レート制限、CAPTCHA認証の4層を組み合わせることで、ほぼすべてのボットスパムをブロックできます。 自社での実装が難しい場合は、FormShieldのような4層防御を標準搭載したフォームサービスの導入をぜひご検討ください。株式会社オブライトでは、フォーム設計やスパム対策のご相談も承っています。