お問い合わせフォームの悪用について

WordPressでは簡単にお問い合わせフォームを作成する事ができます。しかし、セキュリティ対策が不十分なまま運用していると、知らない間にスパムメールの発信拠点となり、ドメインやwebサイトの信用が低下する一因となります。

お問い合わせフォームが悪用され、スパムメールの発信拠点となってしまった場合、お問い合わせフォームを運用している事について責任が問われる可能性があります。被害者ではなく、加害者とならないためにも、お問い合わせフォームを作成する場合には、悪用を防止するための対策が必須となります。

お問い合わせフォームの悪用の仕組み

そもそも、お問い合わせフォームの悪用とは何かをご説明いたします。

よくあるお問い合わせ時の流れ

FormSpam001.png

お問い合わせをおこなった時に、『お問い合わせ、ありがとうございました。』等のタイトルで、お問い合わせ内容を記載した、受付確認のための自動返信メールを送信する事はよくあります。

しかし、自動返信先のメールアドレスが、お問い合わせを行った人物のメールアドレスか、無関係な第三者のメールアドレスかは判断することができません。
入力されたメールアドレスは、お問い合わせを行った人物のメールアドレスで間違い無いという、性善説に基づいて自動返信のメールを送信する事になります。

悪用(スパム攻撃)時の流れ

FormSpam002.png

悪意を持った人物がスパムメールを送信する目的で、自分のメールアドレスではない第三者のメールアドレを入力した場合どうなるでしょうか。

何も対策がなされていない場合、第三者に自動返信メールが送信される事になります。
その自動返信メールにお問い合わせ内容が記載されている場合、攻撃者はお問い合わせ内容に任意の内容(宣伝広告やマルウエアをダウンロードさせる悪意のあるURL等)を記載するれば、自らの手を汚すこと無く、スパムメールによる撃を行う事ができます。

悪用を防止する

悪用を防止するために利用される方法の一つに「reCAPTCHA」があります。
reCAPTCHAは「私はロボットではありません」等のメッセージを表示することで、bot(ロボット)による悪用を防止する技術です。

reCAPTCHAは、専門知識が無くても利用する事ができます。

Contact Fotm 7での設定方法

WordPressでフォームを運用する際によく利用されるプラグインの一つである「Contact Form 7」は、reCAPTCHAに対応しています。

Contact Fotm 7でのreCAPTCHA設定方法は以下のページをご参照ください。

reCAPTCHA (v3) | Contact Form 7 [日本語]

関連情報

Contact Form 7 にて作成されたフォームに対するスパム攻撃について | mixhost ニュース

 

この記事は役に立ちましたか?
1人中0人がこの記事が役に立ったと言っています