多くの企業は「会社案内・人材募集」「商品やサービスの紹介・宣伝」「定期的な情報の提供」などのさまざまな目的でWebサイトを開設しています。Webサイトを制作する上で最低限用意したほうが良いとされている基本コンテンツがいくつか存在しますが、その中の一つの「問い合わせページ」は、ユーザーが商品やサービスに興味・疑問がある時など、企業へ送信するための窓口となる役割があり、通常のメールよりも利便性に優れています。一方で、問い合わせフォーム(メールフォーム)に届くメールの中には大量のスパムメール(迷惑メール)が紛れ込んでいて困っているという経験をした方も多いのではないでしょうか。日々大量のスパムメールを仕分ける対応に追われていると企業の生産性が低下してしまいます。また、スパムメールの内容によってウイルス感染の被害に遭う恐れもあるため、自社のセキュリティを強化する上でも問い合わせフォームからスパムメールを受信しないための対策をとる必要があります。
今回は問い合わせフォームからスパムメールが届く原因と対策について解説します。
まず、問い合わせフォームからどのようにしてメールが送られてくるのかなど、問い合わせフォームの仕組みについて解説します。
問い合わせフォームとは、Webサイトから直接メッセージを入力して送信できる仕組みのことです。メールでメッセージを送信する場合はメーラーと呼ばれるソフトウェアを立ち上げる必要がありますが、問い合わせフォームから送信する場合はメーラーを立ち上げる必要はなく、気軽に問い合わせや申し込みすることができるため、メールを利用するよりも問い合わせするハードルが低くなるメリットがあります。
問い合わせフォームから送信されたデータ(メッセージ)はすぐにメールとして届くわけではありません。送信されたデータはインターネットを介して運営側のサーバーへ暗号化して送られた後、サーバー内のプログラムによってメールの形式に整えられ、メールとして運営側のメールボックスに届きます。
次に、スパムメールの実態やスパムメールを受信することによって生じる影響についてご紹介します。
「スパムメール」とは、受信者の意向を完全に無視して無差別に大量のメールを送信するメールの総称のことで、「迷惑メール」とも呼ばれています。スパムメールは、商品の宣伝を目的とした違法ビジネスやウイルス感染・不正サイトへアクセスさせることを目的としたサイバー攻撃などに使われています。
メールの仕分け作業
受信したスパムメールはすべて自身で削除しなければいけないため、メールの仕分けには手間がかかります。日々大量に届くメールを削除する作業に無駄な時間が取られると業務の生産性が低下してしまいます。また、大量のスパムメールの中に重要なメールが埋もれてしまい、見落としてしまう・正規のユーザーからのメールを誤って削除してしまうなどの危険性があります。そのため最新の注意を払って仕分けなければいけません。
メールサーバーのダウン
大量のスパムメールを受信することでメールサーバーが圧迫される可能性があります。万が一、メールサーバーの処理能力を超えてしまった場合、メールサーバーがダウンしてメールの送受信ができなくなります。そのためスパムメールを削除せずに放置しておくことはできません。また、メールサーバーがダウンするまでの被害が及ばない場合でも、大量のスパムメールによって*CPU・メモリ・*ネットワーク帯域など多くのリソースを使うとメールサーバーに大きな負担がかかり、通信遅延が発生する可能性があります。
*CPU
PCのシステムの中心となって処理を行うパーツのこと。PCの「核」「頭脳」とも表現されている非常に重要なパーツのこと。
*ネットワーク帯域
通信に使用される周波数における「最高周波数」と「最低周波数」の範囲のこと。ネットワークにおける帯域は通信速度という意味で使われることがほとんどで、帯域が広いと「一度に送信できる情報量が多い・速度が速い」、帯域が狭いと「情報量が少なくなる・速度が遅い」という意味合いになります。
ウイルス感染の恐れ
多くのスパムメールはウイルスを忍び込ませているため、メールを開くことでウイルス感染する恐れがあります。メールウイルスの手口は年々巧妙化しているため、「不正サイトへのURL」や「添付ファイル」をクリックするよう誘導しウイルス感染させるケースも存在します。万が一ウイルス感染した場合、社内の機密情報やお客様の個人情報などの情報漏えいやPCが乗っ取られる危険性があります。
Webサイトの評価
受信した大量のスパムメールを放置していた場合、開設したWebサイトやドメイン名の評価(信用)が下がり、Webサイト自体が危険なサイトだという判断をされる危険性があります。Webサイトの評価が下がると検索結果の上位に表示されなくなります。また、サーバーのIPアドレスがブラックリストに登録されるとユーザーなどメールの受信側でスパムメールと判断されてしまうなどさまざまな悪影響を及ぼします。
次に、問い合わせフォームにスパムメールが送られてくる原因と注意点について解説します。
botによる攻撃
問い合わせフォームを経由して送られてくるスパムメールの多くはbot(ボット)と呼ばれる自動収集システムが原因です。botはWebサイトを見つけ出したり問い合わせフォームを見つけ出したりするシステムで、攻撃者は無作為にbotを利用して問い合わせフォームを見つけ出し、機械的に入力・送信しています。そのため、一度に大量のメッセージを送信できる・24時間365日送り続けることが可能です。また、問い合わせフォームのバージョンが古いなどセキュリティ対策が不十分な場合もスパムメールの攻撃を受けやすくなる原因になります。
送信元が自社のドメイン
多くの企業では、社外から届く自社のドメイン名以外のメールに対してスパムメール対策を行っています。しかし、問い合わせフォームからのメール通知は自社が運用するWebサーバーが生成しているので送信元は自社となります。そのため、スパムメール対策の対象外となっていることが多く、検知して排除することができません。
多くのスパムメールは添付した不正サイトのURLやファイルからウイルス感染させることを目的としていますが、中にはメールを開封しただけでウイルス感染するケースもあります。HTML形式のスパムメールを受信後にスクリプトの内容を自動的に実行するように設定している場合、不正なスクリプトプログラムが起動する方法で、OSやアプリの脆弱性を狙った攻撃です。そのため、怪しいメールは開封せずに削除することをおすすめします。一方で、すべてのメールを開封せずに判断するのは難しく、誤ってユーザーからの問い合わせメールを削除してしまう恐れもあります。そのため、いかにスパムメールを送信させないかというスパムメール対策が重要になります。
次に、問い合わせフォームを悪用したスパムメールの被害事例についてご紹介します。
某企業では、問い合わせフォームを悪用したbotによって生成したスパムメールが一日数万通も部門の担当者に届いていました。そのため、日々大量のメールを一通ずつ確認して仕分け、正規の問い合わせを探し出すという作業に忙殺されていました。
某企業では、運用するウェブサイトが不正アクセスされ、同社の問い合わせフォームがスパムメールの配信に悪用されていました。送られていたスパムメールは計483件で、メール本文に偽サイトのURLが添付されており、さらに同社と無関係のドメイン名のメールアドレスが入力されていました。
次に、問い合わせフォームに届くスパムメールへの対策についてご紹介します。スパムメール対策では簡単にフォームを送信させないことが重要です。
「CAPTCHA(キャプチャ)」は、文字や画像による承認でロボットか人間かを区別するツールです。ロボットでは判読が難しい加工された歪んだ文字や数字の入力を求める・指定した条件に合う画像を選択させる方法で、承認されない場合はメールフォームから送信ができないためスパムメール対策として最も有効な手段と言われています。中でも代表的なツールはGoogleが提供する承認システム「reCAPTCHA」で、多くのWebサイトで利用されているためユーザーにも広く浸透しています。「reCAPTCHA」には「reCAPTCHA v2」と「reCAPTCHA v3」の2種類があり、「reCAPTCHA v2」はフォーム内に『私はロボットではありません』と記載されたチェックボックスにチェックを入れると複数の画像が表示されるため、そこから指定した条件に合う画像を選択させる方法で、「reCAPTCHA v3」は画像選択などの操作はなく、Webサイト内でのユーザーの行動を分析してbotかどうかを見分ける方法です。
問い合わせフォームの「氏名・電話番号・メールアドレス」や「問い合わせ内容」などの入力項目の中に必須項目を設置する方法と確認画面といったチェックボックスを追加する方法です。これらの機能を問い合わせフォーム内に設定することでロボットでは対応が難しくなり、操作に手間・時間がかかるため自動送信しづらくなります。
古いバージョンの問い合わせフォームは脆弱性が改善されず、スパム攻撃を受けやすくなります。そのため、問い合わせフォームは定期的にバージョンアップを行い、最新状態に保ちましょう。
WordPressでWebサイトを作成している場合、プラグインの「Contact Form7」を設定することでスパム対策をすることができます。これまで送られてきたスパムメールに含まれている単語やIPアドレスを禁止用語リストに入力することでリストに登録された単語・IPアドレスが含まれているメッセージが問い合わせフォームから送信できないようにする設定です。ただし、仮にユーザーがリストに登録した単語を使用して問い合わせフォームを送信しようとした場合もメッセージが弾かれてしまうため、単語を登録する際は吟味して登録する必要があります。
WordPressでWebサイトを作成している場合、プラグインの「Perfmatters」を設定することでスパム対策をすることができます。問い合わせフォーム内にウイルス感染や情報漏えいを誘発するリンク先のURLを添付できないようにする設定です。
次に、すでに問い合わせフォームから大量のスパムメールが届いている場合に直ちに行うべき対策についてご紹介します。
ウイルス感染や情報漏えいはメールに添付されているURLにアクセスする・開封することで発生します。そのため、明らかに件名が怪しげな文字の羅列や日本語だった場合、メールを開封せずに削除することをおすすめします。
スパムメールを開封してウイルス感染したパソコンなどの端末は、ネットワークに繋がっていることで社内・社外へ二次被害が拡大する危険性があります。万が一スパムメールや添付されているURLを開封・アクセスしてしまった場合は、ウイルス感染した疑いのある端末を直ちにネットワークから遮断してください。併せて、有線LANで接続している場合はLANケーブルを抜く・無線LAN(Wi-Fi)で接続している場合はWi-Fiをオフにしてください。
スパムメールが届いた場合、自社で導入しているウイルス対策ソフトの機能を活用し、スキャンをかけてウイルスの有無を確認しましょう。
最後に、スパム対策を行う上で注意すべきポイントについてご紹介します。
問い合わせフォームへのスパム対策は必要不可欠ですが、問い合わせフォームを設置する本来の目的はユーザーから実際に問い合わせを受けることです。強固なスパム対策を行うことに重視するあまりユーザーにとって利便性とかけ離れた問い合わせフォームになってしまっては問い合わせ自体が減少する・ユーザー離れが発生する可能性があります。そのため、「入力必須項目は一部分のみにする」「プルダウンメニューで選択しやすくする」「入力項目数を削減する」などユーザー目線を大切にした上でスパム対策を行いましょう。
近年のbotは進化しているため、比較的入力項目が多いなど複雑なフォームで作成していても被害に遭うケースもあります。そのため、複数のスパム対策を組み合わせる方法がおすすめです。
WordPressプラグインとはWordPressで作成されたWebサイトHPに機能を追加できるツールのことで、プラグインを導入することで強固なスパム対策になります。しかし、複数のプラグインを導入するとプラグイン同士が干渉してサイトのデザインが崩れる・導入している全てのプラグインに対してバージョンアップがあるか確認・更新を行うなど手間が発生するなどの問題があります。そのため、プラグインは必要以上に導入することは避けましょう。
万が一、同じドメインやアドレスから何通ものスパムメールが届く場合、アクセス元のドメインやIPアドレスに制限をかける方法も有効です。サーバーのアクセスログや送信元のIPアドレスを取得できるツールより特定したIPアドレスをブロックする・ドメイン拒否を設定することで、同一送信者からのスパムメールを防ぐことができます。ただし、アクセス制限にはある程度の専門的な知識が必要になるため、自社のWebサイトを作成した業者などに相談することをおすすめします。
以上、問い合わせフォームからスパムメールが届く原因と対策についてご紹介しました。
― 問い合わせフォームの仕組み
― スパムメールの実態・影響
― 問い合わせフォームにスパムメールが送られてくる原因・注意点
― スパムメールの被害事例
― 問い合わせフォームに届くスパムメール対策
― すでにスパムメールが届いている場合の対処法
― スパム対策を行う上での注意点
日々、問い合わせフォームを経由して送られてくるスパムメールの対応をしていると業務の生産性が低下するだけでなく、ウイルス感染するリスクが高まります。万が一ウイルス感染した場合、「セキュリティが甘い会社」「個人情報を安全に管理できない会社」といった企業のイメージ低下に繋がります。さらに大量に届くスパムメールを放置しておくと企業のWebサイトやドメイン名の評価が下がる可能性もあります。そのため、問い合わせフォームは利用するユーザーへの利便性に配慮した上でスパム対策を行う必要があります。残念ながらスパムメールは日々巧妙化しているため、スパム対策をしても100%排除することはできません。そのため、今回ご紹介したスパム対策を行った上で、定期的にスパム対策を見直しすることをおすすめします。
< スパムメール対策の関連記事はこちら >