Webサイトにて、設置されているお問合わせフォームの自動返信機能が悪用され、第三者によりスパムメールの不正配信が行われているケースが多く確認されております。
そのため、お問合わせフォームを設置されている方に、reCAPTCHAの導入などのセキュリティ対策をおすすめします。
目次
自動返信機能が悪用される主なパターン
- 攻撃者が第三者のメールアドレスを使って問い合わせを送信
→ 自動返信が無関係な第三者に届く
→ 大量に実行されると、スパム配信と誤認され、サーバーがブラックリスト登録される可能性あり
対応策・無効化の検討ポイント
そもそも自動返信が必要かを見直す
- ユーザーに確認メールを送らず、完了画面のみで十分な場合は無効化を推奨
自動返信の条件を厳格化する
- フォームにreCAPTCHAやhCaptchaを導入
- JavaScriptが有効でないと送信できない仕組みでボット対策
- 問い合わせ本文や件名にスパム検出ロジックを導入(URL過多、英語のみ、など)
返信メールの送信先制限
- フリーメール(例:@mail.ru, @qq.comなど)や明らかに不審なドメイン宛てには返信しない
自動返信の制限・レート制御
- 同一IPや同一アドレスへの返信回数を制限(例:1日1通まで)
送信ログの記録と監視
- 自動返信のログを残し、不自然な送信傾向があればアラートを出す
実装補助:reCAPTCHA導入例(Google reCAPTCHA v3)
あくまで一例となりますので、お使いのプラグインやプログラムの開発元に導入に関する情報が提供されているか、またはGoogleにて提供されているドキュメントをご参考にしてください。
https://developers.google.com/recaptcha/docs/v3?hl=ja
まとめ
| 対策項目 | 目的 |
|---|---|
| 入力バリデーション | 不正・無効なデータの除外 |
| XSS対策 | スクリプト攻撃の防止 |
| CSRF対策 | 不正な送信リクエストの防止 |
| reCAPTCHAなどの導入 | ボット送信の防止 |
| SQLインジェクション対策 | データベース破壊の防止 |
| HTTPS | 通信中のデータ保護 |
セキュリティ対策にはSSL証明書
