WEBサイトのスパム対策

WEBサイトにある日突然スパムメールが送られてこの記事にたどり着いた方もいるかもしれません。
WEBサイトのスパム対策には、reCaptchaなどの外部サービスを利用する方法やフォームに対策を入れられるものがあります。

1.reCaptcha V3またはCloudflare Turnstile

reCaptcha V3はGoogleが提供するスコアベースのスパム対策ツールです。
スコア判定があり、Googleは、ユーザーのアクセスパターン、マウスの動き、滞在時間、フォームの入力速度などの行動分析に基づき、そのユーザーが人間かボットかを0.0から1.0のスコアで評価します。
サイト管理者はスコアの閾値（しきいち）の設定が可能なので、1.0に設定をしてガチガチにすることも可能ですが、まずは0.5のから設定をし、徐々に閾値を上げましょう。
また、Google reCapthcaは月間1万回の動作まで無料で利用ができますので、大きな会社様では、従量課金をするか、Cloudflare Turnstileを無料で使用しましょう。

Cloudflare TurnstileはreCAPTCHAの代替としてCloudflareが提供するプライバシー重視のスパム対策サービスです。reCAPTCHAと同様に、ユーザーに面倒な操作を強いることなく、人間であることを証明します。
reCAPTCHAとは異なり、ユーザーの個人を特定できる情報（PII）を収集したり、広告リターゲティングのために利用したりしないことを強調しており、プライバシーに配慮した設計が特徴です。

2.ハニーポットの設置

ハニーポット（Honeypot）とは、サイバーセキュリティの分野で使われる、不正なアクセスや攻撃を意図的に引き寄せるための「おとり」となるシステムやネットワークのことです。

ボットがすべてのフォームの入力欄を埋める傾向を利用して、通常のサイト閲覧者には見えない位置におとりとなる入力欄を設置し、その入力欄が入力されればエラーを返すという仕組みです。

3.お問い合わせ内容に日本語を含めることを必須とする

海外の顧客がいる場合は難しいですが、お問い合わせ内容に日本語が含まれていない場合にエラーを返すバリデーションを追加します。これだけでもボットも入力は失敗になるため効果的なボット対策となります。

まとめ

フォームのスパム対策の方法をいくつか記載しました。
次は、実際の記述方法について書いていくつもりです。