Blog
データ分析
フォームボットとは：不正リードや過剰なトラフィックからビジネスを保護するために

フォームボットとは：不正リードや過剰なトラフィックからビジネスを保護するために

ジェフリー・エドワーズ

データ分析 | 2023年5月24日

リード獲得から受注、そして顧客へのサービス・商品の提供まで、入力フォームは訪問者にとって、サイトでの顧客体験が満足いく素晴らしいものかどうかを決める重要な要素の一つです。しかし、スパマーやクラッカーによるオートメーションツールやボットの使用により、入力フォームはサイバー犯罪の主要な攻撃対象になっています。

フォームボットとは、サイト上のフォーム宛てに短い間隔でプログラムを使って送信を繰り返し、さまざまなセキュリティ対策を回避することができる自動化ソフトウェアの一種です。

この記事では、フォームボットとは何か、その仕組み、そして最も重要なこととして、不正リード、データ漏えい、データ分析の歪みからどのようにビジネスを保護するべきか、その方法について説明します。

フォームボットの仕組みと被害例

フォームボット（form bot）とは、フォームへの入力と送信のプロセスを自動化するボットのことで、フォーム入力ボット（form-filling bot）とも呼ばれます。フォームボットは理論上は無害であるものの、人間のユーザーを偽装して不正を働くように設計されており、多くの問題を引き起こす可能性があります。

フォームボットは、本物のユーザー情報を提供せずに入力フォームに偽のユーザー情報や、不正取得されたユーザー情報を入力し、閲覧制限のあるコンテンツにアクセスしようとすることがあります。フォームボットの中には人間の入力方法を模倣するフォームボットも存在するため、事業者は入力されたデータが正当で「実在する人物」からのものであると誤解してしまいます。これにより、フィッシング、スパム、その他の不正行為などの活動が可能になり、ビジネスに被害をもたらします。

質の低いリードは結果的にコスト高になる

多くの企業は、自社の製品やサービスを宣伝するために、SNSでの有料広告、ステマ、アフィリエイトなどの有料のパートナーシップにかなり依存しています。このような企業は、自社の Web サイト上のフォームに入力された個人情報（リード）を獲得します。一般的には、フラウド実行者は、信頼できるパートナーを装い、フォームボットを使って偽のリード、あるいは質の悪いリードを生成し、企業から多額の紹介報酬を不正獲得しようとします。多くの場合、企業は支払い完了前にこれらのリードが信頼のできない質の悪いリードであることに気付きません。

被害はそれだけにとどまりません。課金方式の広告では、入力フォームにフォームボットが偽の情報入力をすればするほど、広告主の予算は枯渇していきます。成果につながらない不正リードのフォローアップは、電話営業などのリソースを浪費してしまいます。予算をかけた E メールキャンペーンは閲覧されず、リターゲティングのような高額なマーケティング活動は結果が出ず、有料コンテンツやメンバーシップからの収益は低下していきます。このような状況が続くと、本来フォローされるべきリードが見落とされ、機会損失が生じてしまいます。さらに悪いことに、このような状況が続くことで、企業は大きな経済的損失を被ってしまいます。

フォームボットは Web サイトへ負荷をかける

フォームボットは、Web サイトを訪問する実在の人間ではありませんが、バックエンドではその区別はつきません。Web サイトに大量のトラフィック（正当か不正かを問わず）が流入すると、輻輳(ふくそう）が発生し、通信速度が低下し、サービスへの接続が不可能になり、Web サイトが応答しなくなる可能性があります。そのようなトラブルが発生すると、実際のユーザーをイラつかせてしまい、Web サイトに再訪してもらえなくなってしまうかもしれません。

2018年の Google の調査によると、ページの読み込み時間が1秒から10秒になると、モバイルユーザーの直帰率が123%も増加することが判明しています。競合する複数の Web サイトで複数のフォームに情報を入力するユーザーにとって、何らかの追加の手間や不都合さがフォームに入力されるかどうかの決め手で入力を諦めてしまい、正当なリードが失われてしまうことになるかもしれません。

競合他社に商機を奪われる

競争が激しく、迅速で積極的なビジネスが求められる業界において、フォームボットは深刻な脅威となります。フォームボットは貴重な時間と予算を浪費してしまうのです。貴社がボットによる不審なリードを追いかけている間に、競合他社は貴社の製品を購入もしくはサービスを利用してくれたかもしれない質の高い見込みリードを獲得しているかもしれないのです。さらに懸念されるのは、競合他社が、貴社の見込み客の損失や Web サイトの負荷を高めるため、貴社の Web サイトをフォームボットにより攻撃することです。

フォームボットからビジネスを守るには
〜戦略と対策

フォームボットによる被害が拡大する中、不審なリードからビジネスを守るために積極的な対策を講じることが重要です。下記にフォームボット対策のために有効な手法をご紹介します。

ReCAPTCHA の設定

Google ReCAPTCHA を導入すると、リスク分析エンジンと適応型（アダプティブフォームでの） CAPTCHA を使用して、自動化されたソフトウェアが Web サイトで不正行為を行うことを防ぐことができます。各ユーザーは簡単なチェックボックスや、やや複雑な画像識別クイズなどの行動分析により、ボットか人間かを判断されます。

ReCAPTCHA は無料で簡単に設定でき、一度インストールすれば、メンテナンスはほとんど必要ありません。しかし、高度なボットは reCAPTCHA を回避できる場合があるので、追加のスパム対策を導入しておくことが重要です。

ReCAPTCHA や類似のソリューションの最大の欠点は、顧客体験にかなりの摩擦を発生させてしまうことです。認証プロセスに時間がかかると、ユーザーはフォーム入力やサービス利用、商品購入を止めてしまい、もっと使いやすい他のサイトに行ってしまうことがよくあります。

ダブルオプトイン方式の導入

ダブルオプトイン方では、フォーム送信前にユーザーにメールアドレスの認証を依頼することにより、フォームボットによるスパム送信を防ぎます。具体的には、ユーザーがフォームに入力したメールアドレスに対して、リンクを含む確認メールが送信され、そのリンクをクリックしてメールアドレスが有効かどうか、メールの配信を希望するかどうかを確認する必要があります。

ダブルオプトイン方式は、ボット対策としては有効ですが、フォーム送信の手順が増えるため、ユーザーによっては不満を感じ、フォーム離脱率を大幅に上昇させてしまう可能性もあります。そのため、旅行プランの変更やアカウント情報の更新など、ユーザーにとって手続きをすることが必須であるページやフォームでのみ、この技術を活用することをおすすめします。資料のダウンロードや商品購入など、一時的に使用されるフォームでは導入しない方がよいでしょう。

フォームボット向けの罠を仕掛ける

ボットトラップとは、自動化されたボットによる入力フォームの不正使用を防ぐために設計されたセキュリティ対策の一種です。フォーム内に隠しフィールドや課題を作成することで、ボットによるフォームの送信を防ぎつつも、人間であれば簡単にクリアすることができるようにします。

フォームボットのトラップには、、「ハニーポットトラップ」と呼ばれるものがあります。ハニーポットトラップは、従来のフォームボット向けトラップとは異なり、ボットだけが見ることができるフィールドを作成し、フォームボットを引きつけるように設計されています。ハニーポットトラップを使用すると、ボットは非表示フィールドを含むすべてのフォームフィールドに自動的に情報入力しますが、正規のユーザーはそうしません。Web サイト運営者はハニーポットトラップによりボットを検出し、送信のブロックや、CAPTCHA チャレンジの表示など、適切な措置を講じることができます。

レート制限

レート制限とは、サービスやアプリケーションが一定時間内に処理できるリクエストやアクションの数を制限する技術です。ボットによるフォーム送信を防止するために、レート制限を使用して、単一の IP アドレスまたはユーザーアカウントからの送信数を制限することができます。

例えば、ひとつの IP アドレスから１時間あたり10件までのフォーム送信を許可するように制限すると、短時間で大量のフォームを送信しようとするボットは、レート制限以上のフォームを送信できないようになります。

サーバー側でのレート制限を実現するためには、様々な技術を使用することができます。例えば、データベースを使用すると、各 IP アドレスからのフォーム送信数を追跡し、制限を超えた場合は、ブロックやスロットリング（送信できる頻度の制限）を行うことができます。また、express-rate-limit（Node.js用）やratelimiter（Python用）のライブラリを使用して、レート制限を行うこともできます。

レート制限を設定する際には、従業員がレート制限の影響を受けないように、自社からの IP アドレスなどをホワイトリストに登録しておくことが重要です。

なお、レート制限だけではフォームボットを完全に防ぐことはできないため、CAPTCHA や非表示フィールドなど他の対策と併用することで、より徹底した防御が可能になります。

IP アドレスやジオロケーションの利用

ボット対策として、IP アドレスやジオロケーション（地理位置情報）を併用する方法もあります。これにより、ボットとの関連が指摘されている特定の場所や IP アドレスからのリクエストを特定し、ブロックすることが可能になります。

この方法を使用すると、データセンターやホスティングプロバイダー経由のボットをブロックすることができます。

また、ジオロケーションは、特定の国や地域からのボットをブロックするために役立ちます。ユーザーの IP アドレスが既知のボットが使用する IP アドレス範囲に含まれているか、またその IP アドレスがどの国や地域に属しているかをデータベースで比較することで、フォームの送信を検証し、ボットによる攻撃を防ぐことができます。

IP アドレスとジオロケーションの使用は、ボットへの防御に有効である一方、正当なユーザーをブロックしてしまう可能性もあります。ユーザーが IP アドレスやジオロケーションのブロック解除を依頼するためのフォームを用意しておくことで、このような誤作動によるリスクに備えることができます。

フラウド対策やボット検出のツールの導入

上記の対策は、多少の安心感を与えてくれますし、特定の状況下では非常に有効ですが、顧客体験の低下や、IT 部門の人件費拡大などの原因になる場合もあります。フォームボット対策として最善の方法は、フラウド対策やボット検出のツールを導入することです。これらの技術は、不正トラフィックを検出してブロックするだけでなく、チームの貴重な時間を節約し、正当なユーザーにとっての顧客体験低下を最小限に抑えます。

CHEQ は、何千ものセキュリティチェックを活用して Web サイトのトラフィックをリアルタイムで評価し、ユーザーが正当か、疑わしいか、または不正かを判断し、当該ユーザーに対して、ブロックやリダイレクトなどの適切な処置を行います。ペイドマーケティング経由のトラフィックに対しては、IP 除外リストを自動的に更新し、変化し続ける脅威の状況に合わせて対策を講じ、お客様の貴重な時間と広告費用をお守りします。

よくある質問

フォームボットとは何ですか？どのように機能しますか？

フォームボットとは、入力フォームを自動的に送信することができるソフトウェアです。あらかじめ設定されたデータを使用して、人間の動作を模倣しながら、フォームに記入することができます。フォームの自動送信を防ぐために設計されたさまざまなセキュリティ対策を回避し、高速でフォームを自動送信することができます。

フォームボットがビジネスに与える被害とは？

フォームボットは、データ漏えい、データ分析の歪み、リソースの乱用、収益損失、メールマーケティングの問題など、ビジネスに損失を与える可能性があります。

フォームボットからビジネスを保護する方法とは？

フラウド対策、CAPTCHA、フォームボット向けトラップ、レート制限、IP ブロック、ダブルオプトインフォームなど、フォームボットによるスパム送信を保護する方法は数多くあります。

フォームボットがビジネスを攻撃している兆候とは？

単一の IP アドレスからのフォーム送信数、不審なデータを含むフォーム送信数、短期間でのフォーム送信数などは、ビジネスがフォームボットに攻撃されている兆候を示しています。

ビジネスがフォームボットに攻撃されている可能性がある場合、どうしたらよいですか？

自社の Web サイトやデータがフォームボットの攻撃を受けていると疑われる場合は、直ちに対処する必要があります。CAPTCHA、非表示フィールド、レート制限、IP ブロック、ダブルオプトインフォームなどのセキュリティ対策を導入しましょう。さらに、CHEQ のようなボット検知・対策サービスの利用を検討するのもよいでしょう。状況が深刻な場合は、セキュリティの専門家に相談するか、法執行機関に連絡してください。

元の記事：Form Bots 101: Protecting Your Business from Spammy Leads and Traffic Burden