「2日で約100件」の海外スパムをCloudflare Turnstileでブロック｜物流会社様の事例

2026年5月5日

「2日で約100件」の海外スパムをCloudflare Turnstileでブロック｜物流会社様の事例

「お問い合わせフォームに、海外から意味不明な英語のスパムが2日で100件も届くようになった……」

長くお取引のある物流会社様（イベントメディア専用サイトを運営）から、こんなSOSが届きました。

実は最近、こうしたボットによる自動投稿スパムが急増しています。
Contact Form 7はWordPressで圧倒的なシェアを持つフォームプラグインですが、初期状態だとスパム対策が一切入っていないため、ボットからすれば絶好のターゲットなんですよね。

この記事では、その物流会社様にご提供したスパム対策をご紹介します。

何が原因だったのか
どんな対策をご提案したのか
いくらでできたのか
制作者として大切にした「資産化」の考え方

「うちのサイトも最近スパム増えてきた……」という方の参考になれば嬉しいです。

ご相談内容は、2日で約100件の海外スパム

ご相談内容を整理するとこんな感じでした。

対象サイト：物流会社様が運営するイベントメディア専用サイト（WordPress）
現象：2日で約100件のお問い合わせが届く
内容：毎回違う英文（ほぼ意味不明）
急増したのはここ最近

メールボックスがスパムで埋まると、本物のお問い合わせを見落とすリスクが本当にあります。自動返信メールも全部送信されるのでサーバーにも負荷がかかる。「うちは小さいサイトだから狙われない」というのは、フォームがある時点で通用しないんですよね。

原因は、Contact Form 7のスパム対策が「ゼロ」だった

調べてみたら、お問い合わせフォームのCAPTCHA対策が何も入っていない状態でした。

Contact Form 7は便利なんですが、初期状態のままだとボットから素通りしてしまいます。

フォームのURLを知っているボットからすれば、何の障害もなく自動投稿し放題。最近のスパム業者はターゲットを自動巡回しているので、対策ゼロのフォームはすぐ見つかってしまうんです。

ご提案した対策
Cloudflare Turnstile + honeypot

物流会社様にご提案したのは、以下の3点セットです。

1. Cloudflare Turnstile（メインの防御）

reCAPTCHAの代替として近年注目されているスパム対策ツール。
Contact Form 7の開発者・武井宏文さんも現在はこちらを推奨しているスタンスです。

選んだ理由：

完全無料・無制限で利用可能
ユーザーがチェックボックスを押す手間なし（透過的に判定）
プライバシー重視（Cookie・トラッキングなし）
軽量・高速

2. honeypot（補助の防御）

人間には見えない「罠フィールド」を設置して、ボットだけが入力してしまうものを弾く仕組みです。Turnstileと違って完全にバックグラウンドで動作するので、ユーザーには何の影響もありません。

Turnstileだけでも十分ですが、併用するとほぼ完全防御レベルまで持ち上がります。

3. アカウント所有はクライアント側＋制作者をMember招待

ここは技術的というより運用面の工夫です。

Cloudflareアカウントは「ドメインやサーバーと同じ資産」と捉えて、お客様側でアカウントを作成→こんたをMember（管理者）として招待いただきました。

所有はお客様（後で別の制作会社に移管する場合もスムーズ）
操作はこんた（お客様の手間最小）

このパターンが、引き継ぎ・移管リスクを抑えながら制作者側の機動力も保てる、一番きれいな運用だと思っています。

実装の流れ

実装は意外とシンプルです。

スクロールできます

#	内容	担当
1	Cloudflareアカウント作成・Member招待	お客様側
2	Turnstileサイト発行＆Site Key/Secret Key取得	お客様側
3	WordPressにプラグイン導入	こんた側
4	プラグイン設定でキー貼り付け	こんた側
5	CF7フォームに `[cfturnstile]` ショートコード追加	こんた側
6	honeypotプラグイン併用設置	こんた側
7	公開ページで動作確認	こんた側

お客様側のご負担は STEP 1〜2のみ。
STEP 3以降の技術的な実装はすべてこちらで対応する分担にすることで、お客様は本業に専念しながらスパム対策が完了する流れになります。

ご請求内容は、¥11,000（税込）

今回の対応費用は ¥11,000（税込） でした。

作業内容

Cloudflare Turnstile発行・設定
Contact Form 7プラグイン導入＆連携
honeypot追加
全フォーム動作確認
設定情報の引き継ぎ資料作成

スパム被害の規模に比べれば、十分回収できる投資範囲だと思います。
何より、お客様の業務時間がスパム選別から解放されることの価値の方が大きいんですよね。

効果計測（運用1〜2週間後に追記予定）

📊 このセクションは運用1〜2週間後に追記します

現時点では実装直後（2026-04-30 完了）。スパム到達数の変化を計測してから具体的な数字を載せる予定です。想定としては「到達数 95〜99% 削減」を見込んでいますが、実測値を待ちたいと思います。

スクロールできます

指標	実装前	実装後（追記予定）
海外スパム到達数	2日で約100件	計測中
本物のお問い合わせ件数	（変化なしのはず）	計測中
ユーザー側の操作負荷	チェック不要のまま	チェック不要のまま

制作者として大切にしたことは、知見を「資産化」すること

今回ちょっと意識したのは、お客様への対応で終わらせず、知見をブログ記事として公開することでした。

最近、似たスパム相談が他のお客様からも届くようになっていて、「これ1社1社個別に対応していたら、いつまでも時間が足りなくなる」と感じていたんです。

なので、今回の対策手順をブログ記事にまとめて公開しました。

これからは似た相談が来たら「この記事の手順で進めましょう」とURL一発でご案内できる。クライアント返信のコピペじゃなく、ブログに残すことで、

お客様：手順を後から見返せる
制作者：返信コストがほぼゼロに
同業者：参考になる
検索ユーザー：必要な情報に届く

と、関係する全員にメリットが回るんですよね。

「真面目で誠実なのに発信が下手で埋もれてる人を、ちゃんと届くようにする」

これが私の軸なんですが、その実践として、自分の知見もちゃんと届く形にしておきたいなと改めて思いました。

スパムにお困りなら、まずはご相談ください

今回のポイントを整理すると、

Contact Form 7の初期状態はスパムにとって完全に無防備
Cloudflare Turnstile + honeypot でユーザー操作不要のままほぼ完全防御
¥11,000で対応可能な手軽さ
運用面ではお客様所有＋制作者招待のパターンが◎
知見はブログで資産化すると関係者全員にメリット

「うちのお問い合わせフォームも最近スパム増えてる気がする……」という方は、お早めにご相談くださいね。フォームに対策が入っているかどうかの確認だけでも、お電話やChatWorkでサクッとできます。

💬 フォームのスパム対策、ご相談はお気軽に

Cloudflare Turnstile導入から、その他WordPressのセキュリティ対策まで、こんたホームページ製作所では各種ご相談を受け付けております。

ホームページ保健室ご利用

この記事がよかったらと思ったらぜひ♪

URLをコピーしました！

URLをコピーしました！

Googleを使いこなそう！各種機能を理解して作業効率アップ！

この記事を書いた人

今田紋奈

埼玉県川口市で、自営業や起業家のホームページ制作を行っいます。
Web制作会社に7年務めたのち独立。Web制作歴12年、2500件以上のサイト制作に携わり、WordPressサイトを得意とし「作って終わり」にしない、結果が出るサイトであることを大切にしてます。「10人いれば10通りの最適なサイトがある」という信念のもと、型にハマったサイトづくりではなく、マーケティングから考えた、その人のビジネスにとって一番最適なサイトをご提案。技術面で不安のあるWebデザイナーのシステム面のサポートも行っております。