「アンケートに不正な回答が混ざる」「問い合わせフォームに英文スパムが大量に来る」——公開フォームを運営すると必ず直面する問題が、ボット・スパム対策 です。
本記事では、ボット対策の主要な選択肢と、UX・精度・コストのトレードオフを解説します。
ボット攻撃の実態
主要な攻撃パターン
- スパムボット: 商業宣伝・スパムリンクの大量投稿
- クレデンシャル詰め込み: 漏洩アカウントでのログイン試行
- データ収集ボット: フォーム入力欄を埋めて情報を引き出す
- DDoS: フォーム送信を大量実行してサーバーに負荷をかける
被害額の実態
- 1日100件のスパム送信は珍しくない
- 月間1000件超のスパムを処理する人件費は無視できない
- 不正回答が紛れたアンケートデータは、意思決定を歪める
ボット対策の歴史
第1世代: シンプルな CAPTCHA(2000年代〜)
歪んだ文字を入力させる方式。初期は効果的だったが、AI で容易に突破されるようになった。アクセシビリティの問題も大きい。
第2世代: reCAPTCHA v2 / 「私はロボットではありません」(2014年〜)
チェックボックスをクリックする方式。突破率は下がったが、画像認識タスクが追加されて UX が悪化。
第3世代: reCAPTCHA v3(2018年〜)
ユーザーの操作なしにバックグラウンドでスコア判定。UX は良くなったが、Google にデータを送信することへの プライバシー懸念 が拡大。
第4世代: Cloudflare Turnstile / hCaptcha(2022年〜)
プライバシー重視の代替実装。Cloudflare が無償で提供する Turnstile は、UX が圧倒的に良く、近年急速に普及。
主要オプションの比較
| 項目 | reCAPTCHA v3 | Cloudflare Turnstile | hCaptcha |
|---|---|---|---|
| UX | 良(バックグラウンド判定) | 最良(多くは無操作) | 良(時々画像タスク) |
| 誤検知率 | やや高 | 低 | 中 |
| プライバシー | △ Google 送信 | ◎ Cloudflare 内処理 | ◎ プライバシー重視 |
| 無料利用 | 月100万呼び出しまで | 完全無料 | 月100万まで |
| 実装の容易さ | 簡単 | 簡単 | 簡単 |
| モバイル対応 | 良 | 最良 | 良 |
選び方の指針
- UX 最優先 + プライバシー重視 → Cloudflare Turnstile
- 既に Google エコシステム → reCAPTCHA v3
- GDPR 厳格な欧州ユーザー多 → hCaptcha
レポアンの標準対策
レポアンは Cloudflare Turnstile を全フォームに標準搭載 しています。追加設定なしで、
- 公開フォーム
- 埋め込みフォーム
- iframe 経由のフォーム
すべてに保護がかかります。
ユーザーが目にするのは、フォーム下部の小さな「✓ 保護されています」表示のみ。多くのケースで クリックすら不要 で、UX を損ねません。
補助的なスパム対策
CAPTCHA だけが対策ではありません。以下を組み合わせると、突破率がさらに下がります。
1. ハニーポット
人間には見えない入力欄を設置し、ボットだけが入力する仕組み。
<input type="text" name="website" style="display:none;" tabindex="-1" autocomplete="off">
ボットはすべての入力欄を埋めようとするので、この欄に入力があれば即弾く。
2. 送信時間の検証
人間は記入に 数秒以上 かかる。1秒未満で送信されたらボットと判定。
3. レート制限
同一 IP から短時間に複数送信があった場合、追加チェックを発動。
4. メールアドレスの形式検証
使い捨てメールアドレス(10minutemail等)を弾く設定。
アンケートの不正回答対策
CAPTCHA はボット対策ですが、人間による 不正回答 も問題になります。
重複回答対策
- 同一 IP からの複数回答を制限
- 同一メールアドレスでの複数回答を検出
- ブラウザのフィンガープリンティングで端末を識別
質の低い回答の検出
- 回答時間が極端に短い(例: 設問10問を10秒で完了)
- 自由記述欄が「.」「a」など単一文字
- 同じ選択肢ばかり選ぶ(全部「とても満足」など)
レポアンの AI 分析機能は、こうした 質の低い回答 も自動で検出してフラグを立てます。
業種別の推奨設定
B2B(資料請求・問い合わせ)
- Cloudflare Turnstile(標準)
- ハニーポット併用
- ビジネスメールドメインのみ許可(オプション)
B2C(顧客満足度・キャンペーン)
- Cloudflare Turnstile(標準)
- 重複回答対策(メール認証など)
- 謝礼配布時は本人認証を強化
社内アンケート
- 強い CAPTCHA 不要(社内ネットワークから)
- SSO 連携で本人特定
公開キャンペーン(懸賞付き)
- 強い CAPTCHA + 重複防止 + 本人認証
やってはいけないこと
❌ 何もしない
公開フォームを CAPTCHA なしで運用すると、数日でスパムだらけになる。
❌ 古い文字認識 CAPTCHA を使う
UX が悪く、現代の AI で容易に突破される。
❌ Honeypot だけに頼る
経験豊富な攻撃者は Honeypot を回避する。CAPTCHA との併用が必須。
❌ 過剰な検証で正規ユーザーを弾く
誤検知が多いと、UX が悪化し CVR が下がる。
まとめ
ボット・スパム対策の現代的なベストプラクティス:
- Cloudflare Turnstile をデフォルトに(UX とプライバシーのバランスが最良)
- ハニーポット + 送信時間検証 を補助で組み合わせる
- 重複回答対策 はメール認証 or フィンガープリント
- 質の低い回答検出 は AI 分析で自動化
レポアンは スパム・Bot 防止 を Cloudflare Turnstile で標準実装。設定不要で、すべてのフォームが守られます。reCAPTCHA のような UX 悪化や、Google へのデータ送信もありません。