お客様からのお問合せメールを受けるために設置した「お問合せフォーム」をフィッシングメールなどの配信に悪用される被害がでています。

その手口や対策についてお伝えします。

「自動返信機能」を悪用してスパム行為

お客様からのお問合せに対応するお問合せフォームのプログラムには、通常「自動返信機能」がついています。

悪意をもった方がこのお問合せフォームの「自動返信機能」を逆手に取って悪用しスパム行為をおこなっているのです。

お問合せフォームにある項目「メールアドレス」欄には、お問合せするユーザーが返信して欲しい自分のメールアドレスを記入します。これが通常の入力です。

ところがスパマー（迷惑行為をはたらくもの）は、この「メールアドレス」欄に、スパマーが予め収集した第三者のメールアドレスを入力し送信するのです。

ホームページ運営側の被害

メールアドレスを収集された第三者のかたにとっては、見知らぬところから「お問合せありがとうございます」と問合せ確認メールが届くことになり、全く見に覚えがないので気持ち悪く不快なことでしょう。

そしてその「問合せ確認メール」に記載されたURLをクリックするとフィッシングサイトなどへ誘導されてしまい被害にあう可能性があります。

一方で問合せフォームを不正使用されたホームページ運営側にとっては二重の被害をこうむることになります。

• ①メールアドレスを収集された第三者のかたにホームページ運営者に対して不信感を持たれる
• ②メールアドレスを収集された第三者のかたに届けられた問合せ確認メールが「迷惑メール」判定されそのドメイン、ウェブサーバーがブラックリストに載ってしまう恐れがあります。

問合せフォーム悪用スパムへの対策

自動返信機能をオフにする

すぐ簡単にできる対策として、お問合せフォームのプログラムの「自動返信機能」をオフにして使用しないようにするという方法があります。

お問合せしたユーザーにとっても「確認メール」が直ぐに届くことで問題なく送信できたことを確認できたり、送信した内容の控えとして保存しておける利便性がありますし、

ホームページ運営側にとっても、ユーザーからのお問合せに対して自動で一次対応ができるというメリットもあるだけに「自動返信機能」をオフにする判断は難しいかもしれません。

このような攻撃は通常ボットと呼ばれる自動実行プログラムでおこなわれます。そこでボットか人かを判定してボットからの攻撃を防ぐCAPTCHA（キャプチャ）という仕組みがあり、Googleからは無料で使うことができるreCAPTCHA（リキャプチャ）というものが提供されています。

こういったものを導入されることでも対策になります。

※あるレンタルサーバー大手の調べではこの攻撃の9割がCMSのWordPressのContact Form 7というプラグインを標的にしたものとのことです。

参考になれば幸いです。