問い合わせフォームを経由したスパム攻撃の現状
問い合せフォームの仕組みは次のようなものです。
- 1.ホームページに用意された質問項目に情報を入力して送信ボタンをクリック
- 2.情報はインターネットを介して、企業のホームページ用サーバーに暗号化して送信
- 3.サーバーに届いた情報はメールとして担当者に送信、またはデータベースに保存
本来は上記のように顧客が利用しますが、スパム攻撃の経路として利用されることがあります。中でもアクセス数が増えたサイトが狙われているようです。
攻撃者はスパムbotなどのツールを用いて、問い合わせフォームの質問項目欄に、悪質なサイトのURLやウイルスを仕込んで自動送信します。
具体的には、名前欄に特定の中国語(簡体字)を含む文字列や特定のメールアドレス、実在する無関係な会社の電話番号などが書かれた例があります。
このような場合、被害者はスパム攻撃を受けた会社だけではありません。詐称された会社も「スパム攻撃の加害者でないこと」を弁明する手間が発生してしまうなどの被害にあいます。
問い合わせフォームのスパム対策
問い合わせフォームのスパム対策として、3つの方法をそれぞれ解説します。
確認ボタンやキャプチャの設置
まず企業内のサーバーに入り込む前の対策を紹介します。問い合わせフォーム内に必須項目を設置することで、スパムメールの予防が可能です。
スパムメールの多くは、ロボットにより送られてくるものがほとんど。そのため、ロボットでは対応の難しい操作を問い合わせフォーム内に設定しましょう。
具体的には「氏名」「メールアドレス」「問い合わせ内容」などの必須項目や、確認チェックボックスを設けます。全ての項目にチェックしないとサーバーに送れません。
また、テキストや画像によるキャプチャ認証も有効です。代表的なツールとしてはGoogle reCAPTCHAが挙げられます。この方法は多くの方が利用しているオープンソースソフトウェアであるWordPressプラグインからでも導入できます。具体的にはロボットでは判読が難しいとされる歪んだ文字や数字を入力させたり、複数の画像から指定した条件の画像を選択させることでスパム判定を行います。もちろん、認証されない場合はサーバーにメールを送信できません。
アクセスやドメインの制限
次に企業内のサーバーに入り込んでしまったスパムメールへの対策を考えましょう。
特定のドメインやアドレスからのスパムメールが続く場合は、制限をかけ拒否しましょう。また、言語にフィルタをかけ、アクセスを制限してください。外国語のスパムメールには、この方法が有効です。
さらに、IPアドレスが判明している場合は、「.htaccess 」と呼ばれるサーバ内に設置するファイルでアクセスを制限することもできます。
新規フォームの設置
大量のスパムメールが届き、業務そのものに支障をきたす場合は、新規フォームの設置も検討すると良いでしょう。これは従来の問合せフォームのスパム対策が不十分だったと考えられるからです。ここでは2種類の新規フォーム作成方法を紹介します。
フォーム作成サービスで作成する
フォーム作成サービスは、専門的な知識が不要で、無料または低コストで利用できます。代表的なサービスは以下のとおりです。
- Googleフォーム
- 問い合わせフォームなど無料で作成可能。
- ASPサービス
- インターネットでソフトウェアを遠隔操作できるサービスを利用して問い合わせフォームを作成。運用の一任が可能。
自社のメールアドレスを掲載する
問い合わせフォームが使えず他に手段がない場合、最後の手段として暗号化した自社のメールアドレスを掲載します。ただし、この方法は必須項目が入れられず、ユーザに入力の手間をかけるため、あまりおすすめできません。
さらに、Webサイトに掲載されるメールアドレスは迷惑メール業者の標的になりやすいです。たとえば、ソフトによってメールアドレスを自動収集・配信リストへ登録し、大量のメールを送りつけ、サーバへ負荷をかけるなどの攻撃が行われます。
そのため、自社のメールアドレスの掲載は臨時的なものとし、早急に削除するようにしましょう。
問い合わせフォームのスパム対策における注意点
スパム対策をご紹介しましたが、いくつかの方法を組み合わせることをおすすめします。ある1つの対策を実施しても、スパム攻撃を完全に防御できるわけではありません。
スパム対策を実施する際は、攻撃者が自動処理し難い仕掛けを作り、簡単に送信させないことが重要です。ただし、問い合わせフォームへの入力時、ユーザーに不便さを感じさせない配慮も必要です。
いくつものスパム対策を取り入れるとユーザーの利便性を損ねてしまいます。その結果、顧客満足度の低下につながることがあるため注意しましょう。
問い合わせフォームにスパム対策を施し、業務負担を軽減!
問い合わせフォームへのスパム攻撃には、企業内のサーバーに入り込んだ後と、企業内のサーバーに入り込む前の対策を行うと良いでしょう。
スパム対策は攻撃者に送信の手間をかけさせ、ユーザーの利便性を損なわないことが重要です。有効なスパム対策を実施して、業務負担の軽減を図りましょう。
また、以下のページでスパム対策ツールをランキング形式で紹介していますのでスパムメールそのものを対策したいという方はぜひご一読ください。
