問い合わせフォームのスパム対策完全ガイド｜技術・運用・AI判定の組み合わせ

「自社の問い合わせフォームに毎日のようにスパム・営業メールが届く」「対策をいくつか試したが決め手がない」──これは多くの企業が抱える共通の悩みです。

スパム対策には技術的な手法・運用上の工夫・AI判定など複数のアプローチがあり、それぞれに得意・不得意があります。

本記事では問い合わせフォームのスパム対策を網羅的に整理し、自社に最適な組み合わせを見つけられるようにまとめました。

スパムが届く5つの経路
① ボットによる自動送信
② フォーム営業代行業者
③ 海外からの大量送信
④ 求人・営業の個別送信
⑤ 悪質スパム・フィッシング
技術的な対策編
① reCAPTCHA v3
② Cloudflare Turnstile
③ ハニーポット（隠しフィールド）
④ WAF（Web Application Firewall）
⑤ レート制限
運用的な対策編
① NGワードフィルタ
② フォーム入力欄の工夫
③ 人手による仕分け
④ 自動返信文での意思表示
AI判定編（FormGuard）
FormGuard の仕組み
従来の対策と決定的に違う点
対策の組み合わせ方
推奨パターン1：シンプル構成
推奨パターン2：標準構成
推奨パターン3：AI併用構成（おすすめ）
推奨パターン4：エンタープライズ構成
導入の優先順位
まだ何も対策していない
reCAPTCHA は入れているが営業が止まらない
FormGuard の特徴
まとめ｜単一対策ではなく組み合わせが本質

スパムが届く5つの経路

対策を考える前に、スパムがどう届くのかを把握しておきましょう。

① ボットによる自動送信

スクレイピングで問い合わせフォームURLを収集し、自動入力ツールで一斉送信する方式。

最も古典的でコストが低い方法です。

② フォーム営業代行業者

「問い合わせフォーム送信代行」を業として提供する事業者から発信されるメール。

ボットと人手送信の両方を使います。

③ 海外からの大量送信

海外の事業者がリーチを目的に英語・日本語混じりで送ってくるパターン。

詐欺的な内容も含まれることがあります。

④ 求人・営業の個別送信

採用担当者や営業担当者が個別にフォームから送る、人間の手による営業。

reCAPTCHA はボット対策ですので突破されます。

⑤ 悪質スパム・フィッシング

マルウェア配布・詐欺目的のスパム。少数ですが対応コストが高いタイプ。

技術的な対策編

① reCAPTCHA v3

Google が提供するボット判定。ユーザーには見えないスコア型で、ユーザー体験を損ねないのが利点。ボット送信の大部分は止められますが、人間の送信や巧妙なツールには効果が薄いです。

② Cloudflare Turnstile

reCAPTCHA の代替として近年人気。プライバシー配慮と高速性が強みですが、reCAPTCHA と同様の限界はあります。

③ ハニーポット（隠しフィールド）

フォームに見えない入力欄を仕込み、ボットが入力した場合だけ送信を弾く方式。実装コストは低く、シンプルなボットには効果的。ただし高度なボットは無視するため、通用しないことが多いです。

④ WAF（Web Application Firewall）

Cloudflare WAF や AWS WAF などで、特定IPや行動パターンをブロック。本格的な攻撃対策としては有効ですが、設定の難易度が高く運用コストもかかります。

⑤ レート制限

1IPからの送信回数を制限する方法。短時間の大量送信は止められますが、複数IPを使う代行業者には効果が薄いです。

運用的な対策編

① NGワードフィルタ

受信側のメールクライアントで「ご提案」「DX」「営業代行」などのキーワードを含むメールを自動仕分け。実装は簡単ですが、誤検知のリスクがあり、最新の営業文言にも追従が必要です。

② フォーム入力欄の工夫

「お問い合わせ内容」を必須テキスト入力にして文字数下限を設けるなど、ボットが入力しづらい設計にする。ただし真剣な問い合わせ者にも負担になるリスクあり。

③ 人手による仕分け

担当者が目視で営業／本物を仕分ける方式。最も確実ですが、毎月数時間〜数十時間の工数がかかり、人件費換算で月数万円のコストになります。

④ 自動返信文での意思表示

「営業のご提案にはご返信できません」と自動返信に明記。良識ある営業担当者は控えますが、ボット・代行業者には無効です。

AI判定編（FormGuard）

従来の対策の限界を踏まえ、新しいアプローチが「メール内容ベースのAI判定」です。送信元が人間／ボットを問わず、本文の内容から営業メールかを判定します。

FormGuard の仕組み

Google Gemini AI でメール本文を解析
0〜100 のスパムスコアを算出
pass / block / review の3段階で判定
判定理由も併せて記録
カスタムルール（contains / equals / regex）で補強

従来の対策と決定的に違う点

reCAPTCHA や WAF は「誰が送ったか」を判定しますが、AI判定は「何が書かれているか」を判定します。これにより、人間が送る営業メールも止められるのが最大の強みです。

対策の組み合わせ方

単一の対策だけでは穴があるため、複数の手法を組み合わせるのが理想的です。

推奨パターン1：シンプル構成

reCAPTCHA v3 + ハニーポット：最低限のボット対策。月数通のスパムにはこれで十分です。

推奨パターン2：標準構成

reCAPTCHA v3 + ハニーポット + NGワードフィルタ + 自動仕分け：月10〜30通のケースに有効。NGワードの保守が必要です。

推奨パターン3：AI併用構成（おすすめ）

reCAPTCHA v3 + ハニーポット + FormGuard：reCAPTCHA でボットを止め、FormGuard で内容ベースの営業メールを止める二段構えのため月50通以上の営業メール対応に最適です。

推奨パターン4：エンタープライズ構成

WAF + reCAPTCHA + FormGuard + 担当者ダブルチェック：大企業・受信数が極めて多い場合の構成です。。

導入の優先順位

まだ何も対策していない

→ reCAPTCHA v3 とハニーポットの導入から開始。これだけでも基本的なボットは止まります。

reCAPTCHA は入れているが営業が止まらない

→ 人間が送る営業を止める必要があるので、AI判定（FormGuard）の追加導入を推奨。

FormGuard の特徴

月額500円〜・最低利用期間なし
既存フォームを変更せず、送信先メールアドレスを変えるだけで導入
カスタムフィルタで業種・自社事情に合わせて補強
ダッシュボードで全メール・判定理由を確認可能

まとめ｜単一対策ではなく組み合わせが本質

問い合わせフォームのスパム対策は、技術・運用・AI判定の組み合わせで効果が最大化します。reCAPTCHAだけ・NGワードだけといった単一対策では限界があり、それぞれの守備範囲を理解した上で多層的に守るのが現実的なアプローチです。AI判定を組み合わせた本質的な対策をお考えなら、FormGuard公式サイトをぜひご覧ください。