「問い合わせフォームに意味不明な回答が届いた」——Webフォームを設置している企業なら、誰でも遭遇する可能性がある問題です。
今回は、実際に届いたスパムbot回答を公開し、これらの迷惑回答を受け付けない対策を解説します。
実際に届いたスパムbot回答の例
現在担当している企業の予約フォームにて、以下のような回答が届きました。
【お名前】●●● ●●● - ●●●●●.com/●●●(不適切な文字列とURL)
【フリガナ】jacc6s
【電話番号】●●●●●●●●●●●●(12桁)
【メールアドレス】●●●@●●●●●●.com
【出産予定日】2026-02-06
【撮影ご希望の店舗名】岡山店
【備考】89ieh9一見すると予約フォームを埋めているように見えますが、これは自動送信プログラム(bot)による迷惑回答です。
人間が真面目に予約する場合、このような入力はしません。
これは自動送信プログラム(bot)による迷惑回答です🚨
スパムbot回答の3つの特徴
特徴1:電話番号の桁数が異常
日本の電話番号は10桁(固定電話)または11桁(携帯電話)です。今回届いた回答は12桁でした。
botは適当な数字を入力しており、桁数の妥当性をチェックしていません。
特徴2:すべての選択が不自然
第一・第二・第三希望の撮影日がすべて同じ日付で、時間帯もすべて「いつでもいい」を選択していました。
人間なら希望日を分散させるはずです。botは機械的に同じ値を選んでいます。
特徴3:ランダムな文字列
備考欄に「89ieh9」、フリガナに「jacc6s」という意味不明な文字列が入力されていました。
botは必須項目を埋めるために適当な文字を生成しています。
これらは自動送信プログラムの典型的なパターンです📱
スパムbot回答が送られてくる理由
Webフォームにスパム回答が送られてくる理由は主に2つです。
理由1:無差別な自動送信
インターネット上の全フォームに対して無差別に送信しています。SEO目的でリンクを埋め込んだり、メールアドレスを収集するのが目的です。
理由2:フォームの脆弱性チェック
セキュリティの甘いフォームを探しており、本格的な攻撃の前段階として送信しています。
重要なのは、あなたのフォームが狙われているのではなく、無差別に送られているということです。
だからこそ、bot対策をしていないフォームは必ず狙われます⚠️
スパム回答を防ぐ5つの対策
対策1:reCAPTCHA v3の導入(最優先)
Googleが無料で提供するbot対策ツールです。v3は「私はロボットではありません」のチェックが不要で、ユーザーの操作を裏で解析してbotを自動判定します。
WordPress:Contact Form 7、Googleフォーム等で簡単に設定できます。
【設定方法(Contact Form 7の場合)】
1. Google reCAPTCHA公式サイトでサイトキーを取得
2. Contact Form 7の「インテグレーション」からキーを登録
3. フォームに自動適用される対策2:入力項目の桁数チェック
フォーム側で桁数を検証することで、異常な入力を弾けます。
| 項目 | 制限内容 |
|---|---|
| 電話番号 | 10桁または11桁のみ受付 |
| 郵便番号 | 7桁(ハイフンなし)または8桁(ハイフン含む) |
| フリガナ | 全角カタカナまたはひらがなのみ |
Contact Form 7なら以下で設定可能です。
[tel* your-tel minlength:10 maxlength:11]対策3:必須項目と最低文字数の設定
botは最小限の入力で通過しようとします。必須項目と最低文字数を設定することで、ハードルを上げられます。
・お問い合わせ内容:必須+20文字以上
・お名前:必須+2文字以上
・電話番号:必須+10文字以上特に「お問い合わせ内容」を充実させることで、bot送信のハードルが上がります。
対策4:ハニーポット(罠フィールド)の設置
人間には見えないが、botには見える入力欄を追加します。CSSで非表示にした項目に何か入力されたらbot判定します。
Contact Form 7なら「Invisible reCaptcha」プラグインで実装可能です。ユーザー体験を損なわない優れた対策です。
対策5:送信間隔の制限
同じIPアドレスから短時間で複数送信された場合にブロックします。
Contact Form 7:「Flamingo」プラグインでログ確認ができます。「1時間に3回まで」などの制限を設定し、レンタルサーバーのWAF機能も活用しましょう。
対策は1つだけでなく、複数を組み合わせることが重要です🛡️
フォーム設計で防ぐ工夫
技術的な対策以外にも、フォーム設計で防げます。
工夫1:選択肢に「該当なし」を追加しない
botは選択肢の最初または最後を機械的に選びます。「該当なし」があると、それを選んで通過してしまいます。
工夫2:必須項目は本当に必要なものだけに
不要な項目を必須にすると、正常なユーザーが離脱します。最小限の必須項目+任意項目の組み合わせが理想です。
工夫3:確認画面を設置する
送信前に入力内容を確認する画面を挟むことで、botの一部はここで離脱します。ただし、ユーザビリティとのバランスも考慮してください。
WordPress以外のフォームツール別対策
| ツール | reCAPTCHA対応 | 特徴 |
|---|---|---|
| Googleフォーム | 標準搭載 | 設定不要で自動bot対策 |
| formrun | 対応 | 有料プランで高度なスパム対策 |
| Tayori | 対応 | 管理画面でスパム判定可能 |
| kintone | 対応 | Webhook連携で独自対策可能 |
スパム回答が届いてしまったら
対策を実施する前に届いてしまった場合の対処法です。
【即座にやること】
1. 削除する(返信しない)
2. URLやリンクを開かない
3. 上記5つの対策を即座に実施
【やってはいけないこと】
1. 返信する
2. 「配信停止」リンクをクリックする
3. メールアドレスに連絡するまとめ
| 項目 | 内容 |
|---|---|
| スパムbotの特徴 | 電話番号12桁、意味不明な文字列、不自然な選択 |
| 最優先対策 | reCAPTCHA v3の導入 |
| その他の対策 | 桁数チェック、文字数制限、ハニーポット、送信間隔制限 |
| フォーム設計 | 「該当なし」を追加しない、確認画面の設置 |
Webフォームを公開している限り、スパムbot回答は避けられませんが、複数の対策を組み合わせることで99%防げます。
「届いてから対処」ではなく、「届かせない仕組み」を今すぐ作りましょう。
この記事の対策を実施すれば、スパムbot回答は激減します🚀
コメント