問い合わせフォームが狙われている?迷惑送信・不正アクセス・情報漏えいを防ぐ基本対策入門

投稿者: 広報Wordpressセキュリティホームページ運用
最近、迷惑問い合わせ増えていませんか? 実は問い合わせフォームは、サイトの中でも狙われやすい場所です。 迷惑送信・不正アクセス・情報漏えいを防ぐための基本対策を分かりやすく整理しました。

「最近、変な問い合わせが増えた…」
「海外から大量の送信が来ている…」
「迷惑メールみたいな内容ばかり届く…」

実はこれ、中小企業サイトでも非常によく起きている問題です。

問い合わせフォームは、ホームページの中でも特に“外部から触れる場所”です。
そのため、攻撃対象になりやすいポイントでもあります。

しかも最近は、人が手作業で攻撃するというより、

“自動ツールで大量に狙われる”

ケースがほとんどです。

今回は、問い合わせフォームで起こりやすいトラブルと、最低限やっておきたい基本対策を、Webに詳しくない方向けに分かりやすく整理します。

問い合わせフォームで実際によくある問題

まずは、どんな被害が起きるのかを整理してみます。

ケース①

大量の迷惑送信(スパム)

もっとも多いのがこれです。

  • 海外言語のメッセージ
  • URLだらけの内容
  • 営業スパム
  • 意味不明な文字列

などが大量に届きます。

最初は「迷惑だな」で済むこともありますが、

  • 本物の問い合わせを見落とす
  • メールサーバー負荷増加
  • 運用担当の負担増加

など、徐々に業務へ影響してきます。

ケース②

フォームを悪用した不正メール送信

これはかなり危険です。

フォームが悪用されると、

“あなたの会社のサイトを経由してスパムメールが送信される”

ケースがあります。

すると、

  • サーバー会社から警告
  • メール送信停止
  • ドメイン評価低下

などにつながることがあります。

特に最近はGmailなども厳しくなっており、一度問題が起きるとメール到達率へ影響することもあります。

ケース③

個人情報漏えいリスク

問い合わせフォームでは、

  • 名前
  • メールアドレス
  • 電話番号
  • 住所
  • 相談内容

などを扱うケースがあります。

そのため、フォーム周辺のセキュリティが弱いと、

情報漏えいリスクにつながる可能性があります。

特に、

  • SSL未設定
  • 古いフォームシステム
  • WordPress未更新

などは注意が必要です。

ケース④

不正アクセスの入口になる

問い合わせフォームやアップロード機能は、攻撃対象になりやすい場所です。

例えば、

  • 不正ファイル送信
  • システム脆弱性悪用
  • 管理画面侵入の足がかり

などに使われるケースがあります。

「フォームだから安全そう」

と思われがちですが、実はかなり狙われやすい部分です。

まずやっておきたい基本対策

ここからは、最低限確認したい対策を整理します。

対策①

reCAPTCHAを導入する

現在もっとも一般的な対策のひとつです。

Googleの reCAPTCHA を導入することで、

  • 自動送信
  • botアクセス
  • 大量スパム

を減らせます。

最近は、

「私はロボットではありません」

チェックだけではなく、

利用者の動きを見て自動判定するタイプも増えています。

フォーム運用では、かなり基本的な対策になっています。

対策②

WordPress・プラグインを更新する

WordPressフォームでは、

  • Contact Form 7
  • MW WP Form
  • 各種フォームプラグイン

などが使われることが多いです。

ただし、古いまま放置すると、

脆弱性(セキュリティ上の弱点)が残ることがあります。

特に、

  • 数年更新していない
  • 使っていないプラグイン放置
  • 制作当時のまま

は注意したいポイントです。

対策③

SSL(https)を確認する

問い合わせフォームでは必須レベルです。

SSLがない状態では、

入力情報が暗号化されず送信される可能性があります。

また最近のブラウザでは、

SSL未対応サイトへ

「安全ではありません」

と警告表示されることもあります。

対策④

自動返信メール設定を見直す

意外と盲点なのがここです。

フォーム設定によっては、

  • 大量自動返信
  • なりすまし送信
  • スパム踏み台化

につながるケースがあります。

特に、

「入力されたメールアドレスを送信元にする」

ような古い実装は注意が必要です。

対策⑤

“届いているか”確認する

最近増えているのが、

「問い合わせ自体は送られているのにメールが届いていない」

問題です。

原因としては、

  • SPF/DKIM未設定
  • サーバー送信設定
  • Gmail側判定
  • 迷惑メール扱い

などがあります。

フォームは「作って終わり」ではなく、

“正常に届いているか”

まで確認することが重要です。

「小さい会社だから大丈夫」は危険

問い合わせフォームへの攻撃は、

特定企業を狙うというより、

“自動で大量に攻撃する”

ケースがほとんどです。

つまり、

  • 有名企業
  • 中小企業
  • 個人事業

関係なく対象になります。

むしろ、

  • 更新停止
  • 古いWordPress
  • 管理放置

サイトのほうが狙われやすい傾向があります。

まとめ

問い合わせフォームは、

“会社の窓口”

であると同時に、

“外部からアクセスされる入口”

でもあります。

だからこそ、

  • スパム対策
  • 更新管理
  • SSL
  • メール設定
  • 不正アクセス対策

などを最低限確認しておくことが重要です。

もし、

  • 最近スパムが増えた
  • WordPressを長年更新していない
  • フォーム設定を把握していない
  • 本当に届いているか不安

という場合は、一度見直してみると安心です。

————————————————————————
群馬県前橋市のホームページ制作会社 エルシー(株)では、WEB担当者に役立つ情報を毎日更新中!
弊社の公式Xフェイスブックをフォローしてお待ち下さい📱🐾————————————————————————