ハニーポットフィールドとは - 人間には見えない Bot の罠

Bot はフォームを「見ない」で入力する

人間が Web フォームに入力するとき、画面を見て、入力欄を認識し、適切な内容を入力します。しかし、Bot はフォームを「見て」いません。Bot は HTML のソースコードを解析し、input 要素や textarea 要素を機械的に検出して、プログラムで値を入力します。

この「見ない」という特性が、ハニーポットフィールドの原理です。人間には見えないが、HTML 上には存在するダミーの入力欄を設置します。人間はこの入力欄が見えないため、何も入力しません。しかし、Bot は HTML を解析して入力欄を検出するため、ダミーの入力欄にも値を入力してしまいます。

サーバー側では、ダミーの入力欄に値が入っている投稿を Bot と判定し、拒否します。人間の投稿ではダミー欄は常に空なので、正当な投稿が誤って拒否されることはありません。

ハニーポットフィールドの実装方法

ハニーポットフィールドを「人間には見えないが HTML 上には存在する」状態にする方法はいくつかあります。

最も一般的なのは CSS で非表示にする方法です。入力欄を含む要素に対して、画面外に配置する (position: absolute; left: -9999px)、サイズをゼロにする (width: 0; height: 0; overflow: hidden)、視覚的に隠す (opacity: 0) などのスタイルを適用します。

フィールド名の設計も重要です。Bot は「email」「name」「message」のような一般的なフィールド名を検出して自動入力します。ハニーポットフィールドにこれらの名前を付けると、Bot が自動入力する確率が高まります。逆に、実際の入力欄には Bot が推測しにくい名前を付けます。

注意点として、display: none を使うと、一部の高度な Bot は「非表示の要素には入力しない」というロジックを持っているため、検出を回避される可能性があります。画面外配置やサイズゼロの方が、Bot に検出されにくい傾向があります。

アクセシビリティへの配慮も必要です。スクリーンリーダーがハニーポットフィールドを読み上げてしまうと、視覚障害のあるユーザーが混乱します。aria-hidden="true" 属性と tabindex="-1" を設定し、スクリーンリーダーとキーボードナビゲーションの両方からハニーポットフィールドを除外します。

ハニーポットの強みと限界

ハニーポットフィールドの最大の強みは、ユーザー体験への影響がゼロであることです。CAPTCHA のように画像を選ばせたり、Proof of Work のように計算を走らせたりする必要がありません。ユーザーは、ハニーポットフィールドの存在に気づくことすらありません。

もう一つの強みは、実装のシンプルさです。HTML にダミーの入力欄を追加し、CSS で非表示にし、サーバー側でダミー欄の値をチェックするだけです。複雑なアルゴリズムや外部サービスへの依存がなく、軽量に動作します。

しかし、限界もあります。高度な Bot は、CSS の非表示スタイルを解析し、ハニーポットフィールドを識別して入力を回避できます。ヘッドレスブラウザ (Puppeteer、Playwright など) を使う Bot は、実際のブラウザと同じようにページをレンダリングするため、非表示の要素を認識し、入力をスキップできます。

また、ハニーポットは人間による手動の嫌がらせには効果がありません。人間はフォームを視覚的に認識して入力するため、ハニーポットフィールドに引っかかることはありません。

多層防御の中でのハニーポットの位置づけ

ハニーポットフィールドは、単独では高度な Bot を防げません。しかし、多層防御の一層として、他の対策と組み合わせることで効果を発揮します。

本サービスの Bot 対策は 3 層構造です。第 1 層がハニーポットフィールド、第 2 層が Proof of Work、第 3 層がレートリミットです。

ハニーポットは最も軽量な防御層として、単純な Bot を最初にふるい落とします。HTML を機械的に解析して全フィールドに値を入力するタイプの Bot は、この層で排除されます。Web 上の Bot の大多数はこのレベルの単純なものであり、ハニーポットだけで相当数の Bot を排除できます。

ハニーポットを突破した Bot は、第 2 層の Proof of Work に直面します。投稿ごとに計算パズルを解く必要があり、大量投稿のコストが跳ね上がります。さらに、Proof of Work を突破しても、第 3 層のレートリミットにより 1 分あたり 3 件に制限されます。

3 つの層はそれぞれ異なる原理で動作するため、1 つの層を突破する技術が他の層にも通用するとは限りません。ハニーポットを回避する Bot が Proof of Work も回避できるわけではなく、Proof of Work を高速に解ける Bot がレートリミットを回避できるわけでもありません。この「異なる原理の組み合わせ」が、多層防御の本質です。

ハニーポットの名前の由来

「ハニーポット (蜜壺)」という名前は、サイバーセキュリティの用語から来ています。セキュリティの文脈では、ハニーポットとは「攻撃者を意図的に誘い込むための囮システム」を指します。本物のサーバーに見せかけた偽のサーバーを設置し、攻撃者がそこに侵入すると、攻撃の手口や目的を観察・記録できます。蜂蜜 (ハニー) で虫を誘い込む壺 (ポット) に例えた名前です。

フォームのハニーポットフィールドも同じ発想です。Bot を誘い込むための囮の入力欄を設置し、Bot がそこに入力すると検出される。攻撃者を罠にかけるという基本的な考え方は、ネットワークセキュリティのハニーポットと共通しています。

ハニーポットの概念は 1990 年代にセキュリティ研究者のランス・スピッツナーらによって体系化されました。当初はネットワーク侵入の検出に使われていましたが、その後 Web フォームのスパム対策にも応用されるようになりました。シンプルな原理でありながら、30 年以上にわたって実用的な防御手段として使われ続けている、息の長い技術です。

Bot 対策やスパム防止の技術について詳しく知りたい方は、Web セキュリティの関連書籍も参考になります。