Trends

スパムの隠れたコスト：IPブラックリストとサーバー負荷

12月 31, 2025 · 1 min read

あなたのコンタクトフォームが一晩で14,000件の送信を処理したとします。本物の人間からのものは1件もありません。朝になると、SMTPサーバーのIPアドレスが複数のブラックリストに登録され、実際の顧客への業務メールはバウンスし、共有ホスティング事業者からは、MySQLプロセスが長時間にわたってCPUを占有し続けたためアカウントの停止を警告されています。

これは極端な仮定ではありません。保護されていないフォームでは実際に起こりうるパターンです。

ほとんどのサイト運営者はスパムを単なる迷惑、受信トレイを埋めるゴミ程度に考えています。しかしシステム管理者にとっての現実は、はるかに深刻です。スパムは運用リスクであり、インフラを劣化させ、メールの到達性を破壊し、コンピューティングリソースという実際のコストを消費します。この記事では、その具体的な仕組みを解説します。

問題の本質：スパムはインフラへのダメージ

公開されたコンタクトフォームを持つWordPressサイトを運用していれば、ボットがすぐに見つけてくることはご存知でしょう。しかしほとんどの人が過小評価しているのは、スパムが裏側で引き起こす障害の連鎖です。フォーム送信は入口に過ぎません。メール配信、データベースへの書き込み、PHPの実行、cronジョブなど、すべての後続処理がダメージを受けます。

スパム件数のダッシュボードには決して表示されない、3つの最大のリスクを見ていきましょう。

技術的深掘り：スパムが実際に痛手となる箇所

1. SMTP IPブラックリストと送信者レピュテーションの崩壊

コンタクトフォームが通知メールを送信するたびに、サーバーのSMTPサービスはIPアドレスからそのメッセージを送信します。そのIPには送信者レピュテーションスコアがあり、Spamhaus、Barracuda、SpamCopなどの組織によって管理されています。

問題はこうです。ボットが何千もの送信でフォームを埋め尽くすと、サーバーは律儀に何千もの通知メールを送信します。受信側のメールサーバー（Gmail、Outlook、企業のExchangeサーバーなど）は、あなたのIPからの送信量の急激な増加を検知し、スパムフィルターがフラグを立てます。

さらに悪いことがあります。 多くのスパム送信には、スパム的なURL、医薬品関連のキーワード、フィッシングパターンを含むゴミペイロードが入っています。あなたの通知メールは、その内容を本文に含んで配信されます。受信者（またはその自動フィルター）がそれらのメールをスパムとしてマークすると、あなたのIPのレピュテーションに直接的な打撃を与えます。

その結果：

ブラックリスト登録。 あなたのIPがDNSBL（DNSベースのブラックホールリスト）に登録されます。Spamhaus ZENやBarracudaのリストに載ると、送信メールの到達率低下、迷惑メール振り分け、受信拒否、配信遅延といった影響が生じる可能性があります。リスト解除には数日以上かかるケースもあり、問題が修正されたことを証明する必要があります。
共有IPの巻き添え被害。 共有ホスティングでは、1つのIPを数十の他のサイトと共有しています。あなたのスパム問題が、他のサイトの到達性の問題になります。ホスティング事業者はこれに対して、送信制限・調査・一時停止といった措置の対象とすることがあります。
SPF/DKIMでは救えない。 認証レコードはメールを送信したことを証明しますが、内容が正当であることは証明しません。スパム内容で満たされた適切に認証されたメールでも、レピュテーションは低下します。

注文確認、パスワードリセット、請求書通知などのトランザクションメールに依存するビジネスにとって、送信IPのブラックリスト登録は深刻な運用インシデントです。

2. データベースの肥大化：ゆっくりと忍び寄る劣化

フォームプラグインや保存アドオンの構成によっては、送信データ（および関連するメタデータ）がMySQLデータベースに保存されます。この場合、スパム送信1件ごとに複数のデータベース書き込みがトリガーされます。

フォームプラグインが送信をログに記録するために使用するwp_postsまたはカスタムテーブル。
各送信のフィールドレベルのデータを保存するwp_postmetaテーブル。保存方式によっては、8つのフィールドを持つフォームで送信ごとに8行以上のメタデータが生成される場合があります。
トランジエント、レート制限トークン、プラグインの状態が蓄積されるwp_optionsテーブル。このテーブルはautoloadが重く、WordPressは毎回のページリクエストでその大部分を読み込みます。

これに10,000件のスパム送信を掛けてください。1日でwp_postmetaに数万〜数十万行規模の新規データが追加される可能性があります。メモリの限られた共有ホスティング環境では、これは現実的な影響をもたらす可能性があります。

クエリのパフォーマンスが低下。 wp_postmetaテーブルは大規模データセットに対する効率的なインデックスを持っていません。結合クエリのSELECTは、フォームだけでなくサイト全体で遅くなります。
AUTO_INCREMENTのギャップ。 大量の挿入がポストIDを消費します。これは表面的には気になる程度ですが、監査を複雑にもします。
バックアップのサイズと所要時間。 夜間のmysqldumpの時間が長くなり、ファイルサイズも大きくなります。ストレージに制限のあるプランでは、その割り当てを圧迫します。
テーブルの断片化。 スパムのエントリを削除した後でも、ディスク上のテーブルファイルはOPTIMIZE TABLEを実行するまで肥大化したサイズを保持します。InnoDBではオンラインDDLにより再構築中も読み書きは可能ですが、準備・完了フェーズでメタデータロック（MDL）が短時間発生します。

厄介なのは、この劣化が段階的に進行することです。サイトは毎週少しずつ遅くなります。誰かが調査する頃には、wp_postmetaに400,000行の孤立したデータが存在し、wp_optionsテーブルは期限切れでクリーンアップされなかったトランジエントで50MBにまで膨張しています。

3. サーバーリソースの消費：CPU、メモリ、I/O

スパムのフォーム送信は単純なデータベース挿入ではありません。WordPressの完全なリクエストライフサイクルをトリガーします。

PHPのブートストラップ。 WordPressはコア全体、有効なプラグイン、テーマの関数を読み込みます。一般的なサイトでは、プラグイン構成によりリクエストごとに数十MB程度のRAMを消費します。
プラグインフックの実行。 Contact Form 7（または使用しているフォームプラグイン）が送信を処理し、バリデーションを実行し、wpcf7_before_send_mailフックなどを実行します。
メールの配信。 PHPのwp_mail()関数がSMTP接続を開始し、TLSハンドシェイクを実行し、メッセージを送信します。各接続は時間がかかり、PHPプロセスを占有します。
ログと副作用。 送信をログに記録するプラグイン、外部APIに対してスパムチェックを実行するプラグイン、Webhookを発火させるプラグインは、さらなるネットワークI/Oと処理時間を追加します。

正当な送信1件あたりのサーバー時間は、環境にもよりますが数百ミリ秒程度でしょう。問題ありません。しかし1時間に1,000件のボット送信が集中した場合、ゴミ処理だけで相当量のPHP実行時間を消費します。4つのPHP-FPMワーカーを持つサーバーでは、短時間に同時リクエストが集中しワーカー上限を超えると、プロセスプールが飽和する可能性があります。平均負荷が低くても、バースト的な集中で顕在化します。

観測される症状：

NginxまたはApacheがPHP-FPMワーカーの空きを待ってタイムアウトし、502/504ゲートウェイエラーが発生する可能性がある。
メモリの圧迫によりLinuxのOOM Killerがトリガーされ、MySQLやPHP-FPMなどのプロセスが強制終了される可能性がある。フォームだけでなくサイト全体がダウンします。
従量課金のプラットフォーム（AWS、Google Cloud、CPU時間やリクエスト数で課金するプロバイダー）ではホスティングコストが増加。

こうした構成では実際に起こりうるケースとして、小規模なVPSインスタンスでload averageが異常に高い状態が継続し、原因を調査するとIPv6アドレスを循環させるボットによるフォームエンドポイントへの集中アクセスだった、というパターンがあります。フォームにレート制限がなければ、サーバーは実際のページ配信よりもスパム処理に多くのリソースを費やすことになります。

複合効果

これら3つの問題は孤立して存在しているわけではありません。相互に増幅し合います。

スパム送信がデータベースの肥大化を引き起こし、それがクエリの遅延を引き起こし、それがPHP実行時間の長時間化を引き起こし、それが同時に占有されるPHPワーカーの増加を引き起こし、それが正当なリクエストのキュー待ちを引き起こし、それが実際のユーザーに対するタイムアウトとエラーを引き起こします。

同時に、それらのスパム送信からの通知メールが送信者レピュテーションを低下させ、実際のメールが届かなくなり、顧客はサイトが壊れていると思い、サポートの問い合わせが増加します。

これはフィードバックループであり、無防備なフォームから始まります。

解決策：スパムを根元から断つ

事後的なスパム処理（データベースの行のパージ、IPのリスト解除、サービスの再起動）は必要ですが、あくまで対症療法です。より良いアプローチは、スパム送信が完了する前に防止することです。

インフラレベルで実際に効果のある対策を紹介します。

PHPの実行前にブロックする

最もコストの低いリクエストは、アプリケーションが処理しないリクエストです。Webサーバーレイヤー（Nginxのlimit_req、Apacheのmod_evasive等のモジュールやWAFルール、CloudflareのWAFルール）でのレート制限は、高ボリュームのボットがWordPressに触れる前に阻止します。

# Nginx: CF7エンドポイントをIPあたり5リクエスト/分に制限
limit_req_zone $binary_remote_addr zone=cf7:10m rate=5r/m;

location ~* /wp-json/contact-form-7/ {
    limit_req zone=cf7 burst=2 nodelay;
}

これは最初の防御ラインです。問題を完全に解決するわけではありません（巧妙なボットはIPをローテーションします）が、低労力・高ボリュームのノイズを排除します。

外部依存なしで検証する

外部APIに問い合わせるソリューション（reCAPTCHA、hCaptcha）は、レイテンシを増加させ、プライバシーコンプライアンスの対象を広げ、障害点を追加します。GoogleのreCAPTCHAエンドポイントがダウンしたり応答が遅くなったりすると、フォームが壊れたり遅くなったりします。

ローカルで実行されるサーバーサイド検証（ハニーポットフィールド、タイミング分析、ステートレストークン検証）は外部依存がゼロです。スパム送信をメール配信まで処理するコストと比較すれば、追加のオーバーヘッドは無視できるレベルです。

被害半径を最小化する

優れた防止策があっても、一部のスパムは通過します。被害を最小化するようにフォーム処理を設計してください。

不要であれば送信ログを無効化する。メール通知で十分なら、データベースへの書き込みを完全にスキップする。
認証された送信を使う専用のSMTPサービス（Postmark、Mailgun、Amazon SES）を利用する。これらのサービスは独自のレピュテーション管理を持ち、送信パターンの異常を早期に検知・通知する機能を備えている場合があります。
モニタリングを設定する。 フォーム送信レートのスパイクに対してアラートを設定する。最近のエントリをカウントしてSlackやPagerDutyにWebhookを送信するシンプルなcronジョブはコストゼロで、対応時間を数時間稼げます。

軽量な多層防御を使う

最も効果的なアプローチは、単一のメカニズムに依存するのではなく、複数の低コストなシグナルを組み合わせることです。Contact Form 7を使用しているWordPressサイトでは、Samurai Honeypot for Formsがこのアプローチを採用しています。ポリモーフィックなハニーポットフィールド、タイミングベースの分析、サーバーサイドのトークン検証を、外部APIコール、Cookie、ユーザー向けのチャレンジを追加せずに多層化します。メールトラフィックやデータベース書き込みが発生する前の段階で送信を検証するため、インフラへの負荷を抑えやすい設計です。

おわりに

スパムは見た目だけの問題ではありません。システム管理者にとって、それはリソース消費の問題であり、メール到達性の問題であり、信頼性の問題です。「隠れたコスト」とは、あなたが気づいているかどうかに関わらず、サーバー料金で、ブラックリスト解除作業の時間で、そしてインフラの緩やかな劣化で支払い続けているということです。

対策は複雑ではありません。エッジでレート制限し、サーバーサイドで検証し、送信レートを監視し、メールキューやデータベースに到達する前にスパムを止めることです。

深夜2時にSpamhausへのリスト解除申請を書いていない未来のあなたは、きっと感謝するでしょう。

← すべてのコラム