Written by TSUYOSHI

【必須】お問い合わせフォーム 自動返信メールのスパム対策【放置は危険】

WordPress

本記事では、お問い合わせフォームの自動返信メール機能を悪用したスパム行為について解説します。

この記事を読むことによって、なぜお問い合わせフォームのスパム対策が必要なのか、放置しておくとどういった問題が起こるのかが分かるようになります。お問い合わせフォームのセキュリティ対策方法についても紹介します。

本記事を書いている僕は、エンジニア歴が約4年で、WordPressのテーマ作成については、新規作成とメンテナンスを含めると100サイト以上は対応した経験があります。

本記事の内容

  • なぜスパム対策が重要なのか
  • お問い合わせフォームを悪用されるケース【実際の例】
  • お問い合わせフォームが悪用される問題点
  • サーバやドメインがスパム認定される問題点
  • 自分やクライアント企業が加害者にならないための対策は必須
  • reCAPTCHAを使うとなぜ防げるのか

最近、お問い合わせフォームの自動返信メールの機能を悪用した事例が増えているようです。

お問い合わせフォームの自動返信メール悪用を防ぐには、セキュリティを強化するか、自動返信メールを送る機能をやめるなどするしかありません。

自動返信メールの送信は、お問い合わせをしてくれたユーザーにお問い合わせができていることを知らせるためにも、機能的に必要なものになっていると思うので、結論としてはお問い合わせフォームのセキュリティ強化は必須です。

WordPressお問い合わせフォーム 自動返信メールのスパム対策


お問い合わせフォームのスパム対策を放置しておくと危険な理由を含めて解説していきます。

実際に起こる可能性がある被害は以下のとおり

  • 自分のクライアント(お店や会社等)のサイトが悪意のある第三者に利用されて、自分やクライアントのサイト経由でスパムメールを送られてしまう。
  • 何も知らない人に、自分やクライアント企業からのメールとして、フィッシング詐欺などのURLが書かれているメールが送られて、そのユーザーが被害にあう可能性がある。

なぜスパム対策が重要なのか

XSS(クロスサイトスクリプティング)やCSRF(クロスサイトリクエストフォージェリ)などが有名なので、お問い合わせフォームであればこのあたりを対策すればOKと思いがちですが、最近はこれだけだと不十分なケースがあります。(もちろんXSSやCSRFは基本なので重要)

それが最近増えてきているという自動返信メールを悪用したスパムメール送信の被害です。

お問い合わせフォームを悪用されるケース【実際の例】

自動返信メールが悪用されてしまう、具体的な例を紹介します。

お問い合わせフォームを作成した時に、自動返信メールの機能は設置することが多いですよね。対策されていないサイトで、これを悪用されるとスパムメール送信の踏み台にされます。

よくあるお問い合わせフォームのフロー

  1. ユーザーがお問い合わせフォームからお問い合わせ
  2. 裏側では問い合わせがあると、以下の2つのメールを送るのが通常です。
    ・ユーザーへ自動返信メールを送る
    ・管理者へ通知メールを送る
  3. サイトの管理者からユーザーへ必要に応じて、メールで返信する

問題となるのは、2.における「ユーザーへ自動返信メール」です。

悪意のある第三者(スパマー)が、スパムメールを送りたいメールアドレスをたくさん持っているとします。
 ↓
悪意のある第三者が、このお問い合わせフォームを使って入力します。
・入力フォームの「メールアドレス」欄にスパムメールを送りたいメールアドレスを入力する
・「お問い合わせ内容」欄に「フィッシング詐欺などのURLを含んだ内容」などを入力する
 ↓
この内容をお問い合わせフォームから送信すると、自動返信メールで、サイトからの連絡として、全く関係のないユーザー(メールアドレスを入力されたユーザー)へメールが届くようになります。


これが自動返信メールを悪用したスパムメールの例です。

お問い合わせフォームが悪用される問題点

見ず知らずのユーザーに迷惑をかける

自分やクライアントのサイトが踏み台にされた場合、お問い合わせフォームの脆弱性のせいで、見ず知らずのユーザーに迷惑がかかることになります。

自分やクライアントのサイトのドメインやサーバがスパム認定される可能性がある

後述しますが、自分やクライアントのドメインのメールから送信すると、そのメール自体がスパム判定されて、メールが正常に届かなくなる恐れが出てきます。

自分やクライアントの信頼が失墜する

小規模のサイトや個人サイトであれば、自動返信メールで踏み台にされたくらいでは、話題になったりするようなことではないかもしれません。

ただ、もし自分やクライアントのサイトのお問い合わせフォームが踏み台にされ、自動返信メールなどが悪用されてメールを送り付けられた人がフィッシング詐欺に引っかかるなどのことがあった場合、被害にあった人から見ると自分やクライアントのサイトのメールがキッカケで被害にあったことになります。

実際の加害者ではないですが踏み台にされたセキュリティの弱いサイトとして、最悪の場合は被害者などにSNSなどに書かれて、噂が広がれば信用が失墜してしまう可能性もあります

クライアント企業の業務に影響を及ぼすことになると大変なことになります。

サーバやドメインがスパム認定される問題点

一度、スパム認定をされると非常に厄介です。

主に以下のような実害が出る可能性があります

  • 踏み台にされたサイトのドメインやサーバーがスパム認定され、そのドメインやサーバーからのメールが正常に届かなくなってしまう可能性がある
  • サーバー自体(IPアドレス)がスパム認定され、同じサーバーに入っているドメインのメールアドレスからのメールがすべてスパム認定されてしまう可能性が出てくる
  • スパム認定されると解除するのに労力がかかる(解除できるかもわからない)

メールが迷惑メール扱いになってしまう可能性がある

例えばGoogleのGmailでスパム認定されると、その企業やお店からのメールは常に「迷惑メール」として「迷惑メールフォルダ」に直行してしまう可能性が高くなり、業務に支障が出るようになります。

以前、とあるWeb制作会社にいた時に、クライアント企業のメールアドレスが乗っ取られて問題になったことがありました。

企業の代表メールアドレス(info@example.com)のパスワードを脆弱なパスワードに設定してしまっていたようで、ハッカーらしき何者かに乗っ取っられ、その企業の代表メールアドレスから大量のスパムメールが送信されていました。

不幸中の幸いでたまたまサーバのログからすぐに気づいて、1日経たない内に止めることができました。

同じサーバーに入っている他のサイトもスパム認定される可能性がある

しかしここからが大変で、1台の専用サーバに何社ものサイトやメールデータを管理していたため、自社で管理しているサーバ自体がスパム認定されてしまっている可能性がありました。サーバ自体がスパム認定を受けると、そのサーバからのメールはスパム判定されてしまう可能性があり、自社で抱えている他のクライアント企業にも迷惑がかかることになります。

スパム認定されるとスパム判定を解除できるか分からない

サーバ会社に聞いたり、情報を調べたりして、いろいろな関係各所に連絡をして問題ないかを確認したりと… 非常に大変でした。(実際には僕はサポートしているだけだったのですがメインの担当者は結構たいへんそうでした。)

ちなみにその後、ユーザー(クライアントのメールアドレスを使う人)がメールアドレスのパスワード変更をする際は、複雑なパスワード以外に変更できないようにシステム上で対策したのは言うまでもありません。。

自分やクライアント企業が加害者にならないための対策は必須

自分やクライアント企業のサイトで、お問い合わせフォームが悪用されると、迷惑をかけて終わりではなく、最悪、ドメインの変更をしたり、サーバーの移転をしたりしなければならない場合も出てくるかもしれません。

しかも多くのクライアントを抱えていて、同じサーバーで管理している場合などは被害は甚大になります。

少し大げさに表現した部分もありますが、実際に起こる可能性はあるので、もし対策をしていない場合はすぐにでも、お問い合わせフォームのスパム対策はしておくべきかと思います。

お問い合わせフォームのセキュリティ対策は常に気にかけるべき内容です。

reCAPTCHAを使うとなぜ防げるのか

reCAPTCHAを使った無料の対策方法

WordPressサイトなら、「Contact Form 7」や「MW WP Form」についてreCAPTCHAを使ったスパム対策を解説している記事があるので、具体的な対応方法はそちらをご覧ください。
» 【無料】Contact Form 7にreCAPTCHAを導入してスパム対策する方法
» 【無料 スパム対策】MW WP FormにreCAPTCHAを設定する方法

reCAPTCHAを使うと人間の操作かを自動で判定して防いでくれる

Googleが提供するreCAPTCHAを使うとなぜ、保護できるのかについてです。完全ではないですが、GoogleのreCAPTCHAを使えば防げる可能性は高くなります。

もともとハッカーなどは、WordPressを使っているサイトの「/contact」というURLを狙ったりすることが多いらしく、基本的にはすべてプログラムにより自動で操作が行われます。

GoogleのreCAPTCHAであればこういった不審な動作について検知して、ブロックしてくれる可能性が高くなります。そのため、reCAPTCHAを入れたお問い合わせフォームは保護される可能性が高くなるのです。

手動でスパムメール送信行為をされれば防げませんが、仮に手動でスパム行為をされた場合はIPアドレスなどから犯人は足がつく可能性が高いと思います。(手動で悪用する人はいないと思いますが…)

こうした理由から、reCAPTCHAを入れて対策をすると防げる可能性は高くなり、何も対策をしていないノーガードのお問い合わせフォームよりは遥かによいです。

まとめ

お問い合わせフォームの自動返信メールを悪用したスパム行為について、対策の重要性を解説しました。

こういったことは、お問い合わせフォームを実装しているサイトだとどこでも起こりうる話です。スパム行為の踏み台にされるのはサイトの大小に関係ないためです。

大きな企業レベルになると、サーバー側で特定のIPアドレスの遮断なども必要になりますが、一般的なお店や中小企業のサイトであればreCAPTCHAの導入をしていれば、とりあえずは安心かと思います。

自分のサイトなら百歩譲って仕方ないとしても、クライアントの企業やお店に実害が出てしまうとかなり問題です。

お問い合わせフォームを設定していて何も対策していないサイトは、早めにセキュリティ対策をすることを強くオススメします。

ご参考になれば幸いです。

参考:実際に注意勧告をしている記事など

※当サイトでは一部のリンクについてアフィリエイトプログラムを利用して商品を紹介しています