日本国外からのBOTによるスパム送信への対策を強化しました

SSGformシステム全体を保護するため、日本国外からのフォーム送信に対して人間によるものかのチェックを追加しました。日本国内からのフォーム送信に対しては引き続き何も変更はありません。

なぜ対策が必要なのか

問い合わせフォームというのはいつの時代もBOTにとっては格好のターゲットです。そのため、24時間365日、様々なBOTが、大量の迷惑送信を試みています。例えばSSGformのお問い合わせフォームですと、日々2000件を超えるBOTによる送信（そのほぼすべてがreCAPTCHAによりブロック）が試みられていました。

BOTによる送信自体はreCAPTCHA等である程度防止することができますが、reCAPTCHAを設定されていない方については、多数のスパム送信が届いている（いた）かもしれません。望まないスパム送信は無駄に月間送信数を消費するだけですので、メリットは何もありません。

reCAPTCHAでそうしたBOTによるスパム送信をブロックしている場合には、月間送信数への影響はありませんし、送信された内容がお手元に届くことはありませんので、利用者の皆様への影響が直接的にあるわけではありません。ただ、BOTによる試行の数だけSSGformへの負荷が発生していることには変わりなく、この状態がさらに悪化していくと、サーバーコストの増大を招いてしまいます。そうなるとサービスレベルを下げたり、プラン料金の値上げを検討する必要が出てきてしまいます。

こうしたBOTによる送信はそのほとんどが日本国外からのアクセスです。今までもreCAPTCHAの設定や、NGワードの設定、全角文字判定などで個別に対策いただいていたと思いますが、どうしてもいたちごっこになってしまいます。今後もBOTによる送信はますます巧妙化することは容易に予想ができ、SSGformとしても重要課題として検討を続けてきました。

対策内容とその影響

SSGformでは、Cloudflare社のWAF（Web Application Firewall）をシステム前段に配置しています。WAFの機能を活用し、ご利用中の皆様のフォームURLへの送信に対してチェックを行い、送信元が日本国外であれば、人間による送信であるかどうかを確認する画面を挟んで検証するように変更いたしました。

これにより、日本国外からのフォーム送信については、よほど巧妙なBOTでない限り、そのチェックをクリアできず、スパム送信防止の効果が期待できます。日本国内からのフォーム送信に対してはチェックが介入しないため、今までと動作や使い心地が変わることはありません。日本国外からのフォーム送信に対しては、それが例え人間によるものであってもひと手間増える場合があります。

日本国外からのフォーム送信に対して一律のチェックをかけることについてはメリット・デメリットがある悩ましいポイントではありました。ただ、SSGformの立ち位置とメリット・デメリットを天秤にかけ、日本国外からのアクセスはWAFレベルでチェックをかけるほうがメリットが大きいという判断に至っています。

もちろん、日本国内からのBOTによるスパム送信についてはすり抜けてしまいます。例えば、海外の事業者が日本国内にあるサーバーを借りて送信したり、日本の事業者が大量の営業メールを送信したり、といったことまでは防止できません。そういったスパム送信については引き続きフォーム個別の設定を活用し対策をお願いします。

繰り返しになりますが、今回の変更により、利用者の皆様においては、設定の変更等必要ありません。また、日本国外からのフォーム送信が想定されない場合には、何もアクションは必要ありません。もし、海外からのフォーム送信があり得る場合には、そうしたWAFによるチェック画面が表示されることがあることだけ、フォーム内に記載いただくのをおすすめします。