簡単な原理

　コメントスパムやトラックバックスパムは， 「スパムボット」と呼ばれるプログラムを使って送信されています。 スパムボットはスパム行為を行なうサイトやページをクロール(crawl)すると， 取得した HTML を文字解析してコメント投稿用の CGI やトラックバック URL を取得し， その URL 目掛けてスパムコメントやスパムトラックバックを送信していると推測されます。
　以前，MovableType ではコメント投稿用の CGI (mt-comment.cgi) をリネームするなどの手段が有効でしたが，最近ではこの手法はほとんど効果がありません。 なぜなら，リネームした後のファイル名が HTML に含まれてしまっているために， ページの HTML を文字解析すれば簡単に変更後のファイル名が知れてしまうからです。

　スパムボットはスパム対象のページを高々文字解析している程度と推測されます。 そこで，この段階でコメント投稿用 CGI の場所が隠蔽できればスパムボットは CGI にアクセスできません。 例えば次のようなフォームをスパムボットは正しくパスできないことになります。

現時点ではコストに見合わないという理由だけで， 将来，このギミックを回避するスパムボットが登場する可能性は否定できません。

　人間がブラウザを通してアクセスした場合， commentform の送信先は you_are_welcome.cgi に変更されます。 しかし実際のところ，この HTML をスパムボットと同様に文字解析だけを行なうと， フォームの送信先は I_am_a_spammer.html になり， HTML を見ただけではフォームの送信先が you_are_welcome.cgi とは判りません。 スパムボットが JavaScript のように意味解析を行なえないと云う弱点を利用するわけです。

　ただ，この方法には問題もあって，JavaScriptを解釈しないブラウザ(今はほとんど無いと思いますが)や， セキュリティ上の不安からJavaScriptをオフにしているユーザも弾かれてしまうことがあります。 そこで<noscript> タグを使って注意書きを併せておくと良いかもしれません。

MovableType のテンプレートを書き換える

　この手法を MovableType で利用する場合のテンプレートの書き方の例を示します。

　未だに mt-comment.cgi を狙い撃ちしてくるスパムボットも存在するので， ファイル名の変更は忘れずに行なってください。 合わせ技だからこそ効果的です。
　また「JavaScript 中に丸見えなのはやっぱり不安だ」と仰るのであれば， 以下のように少し難解に書くこともできます。

トラックバック用CGIの保護 '06/12/07追記

　トラックバックpingの送信先URLも同じ方法で隠蔽することができますが， トラックバックスパムに関しては Trackback Auto Discovery 用のデータを解析していると推測されるため， あまり効果は期待できないかもしれません。 なぜなら，コメント投稿用CGIは form タグの action を取得すれば一発ですが， トラックバックpingの送信先URLについては一定のフォーマットが存在しないためです。 そのため，トラックバックURLを隠蔽するには，その唯一のフォーマットである Trackback Auto Discovery 用のデータをエントリ中に埋め込まないというのが有効打ということになります。

参考： spam TrackBack対策ならTrackBack auto-discoveryを消すに限る