ホームページのお問い合わせフォームを利用していると、「私はロボットではありません」というチェックボックスや、信号機・横断歩道の画像を選ぶ認証画面、よくありましたよね。
あれらはもちろんスパム対策ですが、どうしてあれでスパム対策ができるのか気になったことありません?また近頃はこうした認証画面を見かける機会が少なくなっていることにお気づきでしょうか?
もしかしたら「スパム」が何なのか、具体的にイメージできない、という方もいるかもしれませんので、ここでは「そもそもスパムって何?」から、「私はロボットではありません」がどのように作用して働いているのか、近年のスパム対策の仕組みについて、ご紹介します。
そもそもスパムとは?
ホームページ運営における「スパム」とは、本来の利用目的ではない不要な投稿や送信のことを指します。例えばWordPressでは、ブログ記事のコメント欄にURL付きの宣伝投稿が大量に送られる「スパムコメント」が昔からよく知られています。こんなのが、ブログ記事のコメント欄に並ぶ。。。
Hi, it’s Brian
https://xxxxx.com
Nice website!
https://example-link.com
Good job.
Please visit:
https://example-link.com
Great content!
Check this:
https://example-link.com
一方で企業ホームページでは、コメント欄を設置していないケースが多く、現在はお問い合わせフォームを利用した「スパムメール」の方が身近かもしれません。
「スパムコメント」にせよ「スパムメール」にせよ、特徴としては同じで「意味のない文字列」、「外国語による投稿」、「短時間に大量送信される」「怪しいURLへのリンクが大量に仕込まれている」という性質があります。この記事では、主にお問い合わせフォームから送信される「フォーム送信型のスパム」とその対策についてお話しします。
【豆知識】「スパム」の語源は缶詰!?
迷惑メールやスパム投稿の「スパム(SPAM)」という言葉は、ランチョンミート缶「SPAM」が由来と言われています。1970年に放送されたイギリスのコメディ番組『モンティ・パイソン』の有名なコントで、レストランのメニューにSPAMばかりが登場し、店内でも「SPAM!SPAM!SPAM!」と連呼され続ける場面がありました。
その後、インターネット黎明期のチャットや掲示板で、同じ内容を大量に繰り返し投稿する行為を「まるでSPAMの連呼みたいだ」と呼ぶようになり、やがて不要な大量投稿や迷惑メール全般を指す言葉として定着したと言われています。
営業メールとスパムは少し違います
ちなみに【お問い合わせフォーム】には、「他社からの営業メッセージ」が届くこともありますね「SEO対策やAI導入支援の提案」「補助金活用の営業」「協業のお誘い」・・・など様々です
本来自社サービスに興味を持ってくれたお客様からのメッセージを期待しているため、これらは迷惑に感じることもありますが、人が内容を考えて(宛先も考えて)送信しているケースが多く、プログラムで瞬時に大量の送信を行う一般的なスパムとは異なります。後述する技術的なスパム対策だけで完全に防ぐことはできません。
スパムが届くと何が困るのでしょうか?
さて、本記事内における「スパム」を定義していきましたが、何がどう困るのでしょう?
通常ウェブサイトに設置されたお問い合わせフォームは、閲覧者がそれに入力して送信した後、サイト管理側へ自動的にメールが送信されますよね。そこに明らかにお客さんからではない、外国語だけの内容に不審なURLリンク・・・、さらにそれが1番で数百通届いたら・・・?メールボックスはそれだけで埋まってる。
「迷惑!!怖い・・・!」
もし意味不明なメールが1件だけなら大きな問題にならないかもしれません。しかし大量に届くとなると、まず本文に不信URLがあることがほとんどのため、他の社員も見える状態なら絶対にURLをクリックしないように!などの社内周知や報告、またスパムメールを削除する際も、本当のお問い合わせも一緒に削除してしまわないように細心の注意が必要・・・などなど、業務を滞らせること間違いなしです。
「怪しいURLはクリックしない」という認識は多くの方は持っているといっても、何かのはずみでクリックしてしまいかねません。怪しいサイトに誘導されるだけならまだしも、変なウィルスが入っていたら、と思うと、恐ろしいですね!
なぜ私のサイトにも届くの?
「有名な会社でもないのに、なぜうちのサイトに?」と思う方もいるかもしれません。
しかし多くのスパムは、世界中のホームページを自動的に巡回して送信しています。つまり、「あなたの会社を狙っている」というより、「フォームが見つかったから送っている」場合がほとんどです。
スパム投稿の目的は?
こんな投稿やフォーム送信をする目的として、以下のようなことがあるとされています
怪しいサイトへ誘導したい
最も多いのは、URLを送り付けてサイトへ誘導することです。
誘導先は商品の販売サイトだけでなく、フィッシングサイトや詐欺サイト、不正なプログラムの配布サイトである場合もあります。
ウィルスを直接送りつけてくることはないの?
基本的にフォームには「名前」「メールアドレス」「本文」しか送れません。なので直接ウィルス実行ファイルが送りつけられてくる、というよりは、本文中にURLを貼り、そのURLをクリックした先のサイト内でウィルス実行ファイルをダウンロードさせる、という手口が多いです。
検索結果画面の表示順位を上げるため
一昔前だと、検索順位向上を目的としてコメント欄にURLを投稿するケースが見られました。他人のサイトのコメント欄に、自社サイトのURLをいくつも投稿することで「外部リンク数を稼ぎ、検索エンジンの評価を上げることで検索順位を上げる」なんていう手段も横行していたようです。すごい時代ですね・・・
もちろん現在は検索エンジン側の対策が進んでいて、スパムコメントによるものは外部リンクとしてカウントすることはないでしょう。ただその当時に作成されていたボットが、今でもネットの中を泳いでいるわけです。
フォームが現在も利用されているか確認するため
お問い合わせフォームから送信した際、サイト管理者ではなく、フォーム送信者に自動返信メールが届く設定になっていることがほとんどだと思います。これを利用して、スパマー(スパム元)側が「このサイトは現在も運営されている」ことを確認しようとするケースもあります。
フォーム送信後に自動返信が来れば、「このフォームはまだ生きている」となり、スパム送り先の対象群になるわけです。
スパム対策の今昔
スパムについてはこんな感じです。では対する「スパム対策側」はどんなものがあったでしょう。
信号機テスト、ありましたね
以前はお問い合わせフォームを送信する際に、「私はロボットではありません」というチェックボックスや、「信号機が写っている画像を選んでください」といった認証画面、またはくねくねに曲がった数字やテキストを読んで回答入力させる、といったものをよく見かけました。
これは、人間とロボットを見分けるための仕組みです。当時のボットは画像認識が苦手だったため、そのテストを突破できずフォーム送信まで至らない、という事です。
非常に有効な対策でしたが、「入力が面倒」、「スマートフォンでは操作しづらい」「認証に失敗することがある」といった課題もありました。
そして現在のAIなら信号機の識別など余裕です。そんなこともあり、最近では見かけなくなってきましたね。
「私はロボットではありません」は、何をしているの?
実は「私はロボットではありません」のチェックボックスは、チェックそのものが目的ではありません。後述しますが、「私はロボットではありません」の質問文が人間にしか見えないわけではもちろんなく、チェックするまでのマウスの動きやクリックの仕方、ブラウザ情報などを総合して、スパム対策ツールが「人間らしい操作かどうか」を判断するための仕組みです。
現在のスパム対策ツールは、「どこみてんのよ!」(ちょっと古いツッコミですが)と思ってしまうような所で【ニンゲン】or【機械】を判断しているようです。
そのため、人間らしいと判断されれば、そのまま認証が完了します。一方で怪しいと判断された場合だけ、「信号機を選んでください」といった追加認証が表示されることもあるようです。
最近のスパム対策は裏側で判定する仕組みが増えています|代表的なスパム対策ツールとその働き
というわけで現在は、利用者に特別な操作を求めず、裏側で判定する仕組みが主流になっています。信号機選ぶだけではAIにもできてしまいますから・・・。もう少し具体的に何をどう見ているか、書いていきますね。
reCAPTCHA
Googleが提供するスパム対策です。先ほど例に挙げた「信号機テスト」も、このreCAPTCHAが採用していた方法です。
前述のように、当時人間にしか識別できなかった信号機、道路標識などの画像を選ぶか選べないかによって、フォーム送信者が人間かどうかを判断していました。
一方、現在のreCAPTCHAは、利用者に特別な操作を求めず、アクセス状況やフォームページでの挙動(入力やクリック)を総合的に判断する仕組みになっています。どういう事でしょう?
具体的には以下の事を「人間かロボット化の判断基準にしている」と言われます。(対策上、判定基準のすべてが公開されているわけではありません!)
reCAPTCHAの判断基準例
- ページを開いてすぐ送信していないか
- マウスやタッチ操作が自然か
- ブラウザが一般的なものか
- 短時間に大量送信していないか
これはこれですごいですよね、マウス操作や入力の速度などを見ているという・・・恐ろしいです。具体例を挙げてみましょう!
人間とロボットの違い
例えば人間の場合とロボットの場合とでは、このような違いになります
<人間の場合>
フォームのページを開く
↓
少しスクロールする
↓
フォームを読む
↓
入力する
↓
スクロールする
↓
送信する
<ロボットの場合>
フォームのページを開く
↓
0.1秒で全項入力
↓
送信
とにかくロボット、はやい。考えながら、または読みながら・・・という挙動ではないのです。そしロボットはどんどん賢くなっていますが、人間の行動には「読む時間」「マウス移動」「スクロール」「入力のばらつき」などの特徴があります。
現在のreCAPTCHAは、こうした様々な情報を総合的に判断していると考えられています。
Turnstile
Cloudflareが提供するスパム対策です。考え方はreCAPTCHAと同じように、人間らしいかロボットっぽいかどうかの判定をフォーム上の挙動で行う、というものです。
ハニーポット型
別の方法として、ハニーポットという仕組みがあります。信号機テストの頃からありますが、これは、人間には見えない入力欄をフォーム内に設置する方法です。スパイ映画などで出てくる「ハニートラップ」から来ているのでしょうか。。。ちなみに上記二つ(reCAPTCHAとTurnstile)は具体的なツール名ですが「ハニーポット」は仕組みの名前です。
通常の利用者はその存在に気付きませんが、単純なロボットは全ての入力欄を埋めようとするため、見えない欄にも入力してしまいます。その結果、「これはロボットによる投稿だ」と判定できるのです。
reCAPTCHAやTurnstileが「行動分析」で、ハニーポットは「罠」という事になりますね!
スパム判定されたフォームはどうなるの?
ちなみにスパムボットがフォーム入力して送信されたものは、reCAPTCHAやTurnstile、ハニーポットで【ロボット判定】を受けると、その判定結果がWordPressやフォーム側に渡され、それらのフォームは受付されず、管理者への自動メールも送信されない、という流れになります。
よって、それらの対策ツールが入っているサイトであれば、管理者が毎回スパムに気が付くという事はないかと思います。お使いのスパム対策ツール側で確認すると、これまでのスパム受信履歴が確認できると思います。
フォームによって対策方法は異なります
ところで上記にあげたスパム対策ツールは、WordPressでよく使用されるプラグインです。WordPressでフォームをContact Form 7やWPFormsなどのプラグインで実装する場合に使用するスパム対策ツール、という事になります。ですがそれ以外にもお問い合わせフォームには様々な種類があります。
例えばformrunやHubSpotなどの外部フォームサービスでは、サービス側がスパム対策機能を提供している場合もあります。そのため、「このサイトではスパム対策設定が必要だったのに、別のサイトでは何もしていない」ということも珍しくありません。
スパム対策も進化しています
以前は利用者自身が認証作業を行うことが一般的でした。ボット側の進化も著しく、スパム対策ツール側が「利用者にはできるだけ負担をかけず、裏側で判定する」方向へ進化して久しいです。
チェックやスクロールなどの動きを見ている、その中に「私はロボットではありません」のチェックボックス。あれを見るたびに、私たちの動き方を見ているスパム対策ツールに思いが馳せられてしまいそうです。。。
とにかくホームページのお問い合わせフォームは、お客様との大切な接点です。スパムを防いで、フォームを安全な状態に保ちましょう!
WEB周りのご相談は、ハマ企画へ!
