ホームページのお問合せがスパムメールの踏み台に？対策は？

先日、他社様でホームページを作られた方からこんな相談がありました…。契約しているサーバー会社から自分のホームページのお問い合わせフォームがスパムメールの踏み台になっているので、対策をしてほしいとの連絡が来て、どのようにすればよいのか分からないので、困っています…WEBサイトを作った会社はもうやってないみたいで、連絡が取れません…。助けてくださいと…。

今回、その方のホームページを店頭のPCから見させていただき、見た目上は何の問題もございませんでしたが、お問い合わせのフォームの送信先になっているメールの受信フォルダを見せていただくと、中国語のお問い合わせが5分～10分に1回のペースで永遠と繰り返されています…数百件、数千件…。

最近では、迷惑メールを普通に送ってもサーバーやGメール、YAHOOメールなどサービス側でスパム判定して弾いてくれたり、迷惑フォルダに入れてくれたりと、スパムメールをはじく機能が進化していますので、どうやったら相手に届きやすいのか？またそういった行為を自前のサーバーを使わずに、出来ないか？といった考えから、人のフォームを利用して送信してしまおうと考えたのがこのホームページのお問い合わせを利用した迷惑行為になります。特に、お問い合わせに自動返信機能を付けていますと狙われやすく、メッセージの内容に宣伝広告や迷惑内容へのリンクなどを記載し、自分のアドレスではないアドレスを返信先にすることで、他人のお問い合わせフォームから内容を送信できることを使ったスパムになります。

ホームページのお問い合わせを踏み台にされた場合の対策としては、ワードプレスプログラムの場合は、ほとんどの方がContact Form 7でメールフォームを作成されているかと思います。この場合、スパム送信に対処するには、グーグルアカウントがあれば無料で利用できるようにしているreCAPTCHA(v3)を利用することで対策が可能です。パソコン制作ができる程度のパソコンスキルが必要なので、自己でワードプレスでホームページを作った方であれば問題なく設置できるかと思いますが、その他には難易度が高いかとおもいますので、ホームページを作った会社や、当社のようなホームページ制作会社に別途依頼すれば、その部分だけ設置していただく依頼を出す形になるかと思います。

ワードプレスではない、HTMLで作成したホームページの場合は、プラグインなどそのようなものがないので、手作業でひとつづつするしかないのですが、今回のお客様の場合は、HTMLサイトにメールフォームプログラムのPHPシステムのものを埋め込んであるものでしたので、PHPのメールフォームシステムの管理画面を見させていただきました。その結果、reCAPTCHA(v3)を設置するのは大変な作業になりますので、今回は、PHPの設定画面の中で設定されていないセキュリティ項目がありましたので、それらをまずは有効にしました。

リファラチェック＝設置したドメインのTOPページなどを踏まないとメール送信できない機能

ワンタイムトークン＝一回しかボタンを押せなくする機能、戻るを使って何度も送信できないようにする

簡単に砕いて説明しましたが、上記の機能をＯＮにさせていただきました。

それでも相手先には、ＵＲＬに直接飛んできて機械的にプログラムでスパム送信していますので、念のため、フォームを削除し、別ページを新しく作成しなおし、新しいフォームページ移植してみました。

自分で解決したい方もPHPプログラム埋め込んだフォームの場合は、この対策でとりあえずはスパム行為は回避できるかと思います。

結果、お客様の受信フォルダをモニタリングしましたが、中国語の迷惑送信の受信が1件もこなくなりましたので、無事対策ができたのかと思います。この先はどうなのか？といいますと未知数ではありますが、大変な改修や金額をかけずに、とりあえずは解決いたしました。ゆくゆくは、当社でワードプレスのホームページをお願いしますねとうれしいお言葉を頂き、無事解決に至りました。

いろいろなケースがありますが、取り合えず相談いただくと解決策があるかもしれません。当社では難しい力不足な場合も問題も多くあるかと思いますが、お気軽にご相談くださればとおもいます。