自社で運営しているWebサイトにメールフォームがある場合、個人情報を取り扱うことになるのでスパム対策が必須です。
近年では、スパムメールが急増しているため多くのサイトでスパム対策が必要となっています。情報漏えいなど大きな問題が発生してしまうと、顧客からの信頼を失ってしまい、結果として大きな損害になることも考えられます。
本記事ではスパムメールの種類や対策方法をご紹介します。
もくじ
◆スパムメールについて
スパムメールとは、受信者の意向を無視して一方的に送り付けられるメールであり、迷惑メールとも呼ばれます。
スパムメールの多くは個人情報を悪用する業者が送信しています。
目的は商品の宣伝や個人情報の取得、フィッシングサイトへの誘導などです。
不正サイトに誘導して、添付ファイルを開かせたりなどをし、マルウェアに感染させようとします。
◆スパムメールの種類とは?
大きくスパムメールは2種類に分けられます。
通知機能を利用したもの
メールフォームからお問い合わせがあったとき、問い合わせ担当者に自動で通知が届く仕組みを悪用したものです。
- 攻撃者がスパムbotというロボットを使用し、メールフォームの質問項目にスパム情報を自動入力し送信します。
- 送信された内容はインターネットを通じて自社サーバーに暗号化されて届きます。
- 自社のサーバーから問い合わせ担当者宛にメールが届きます。
上記のやり方で1日に何万通ものスパムメールを送って仕事を止めたり、マルウェアの感染を狙ったりします。
自動返信を利用したもの
メールフォームから送られる自動返信メールの仕組みを悪用したものです。
- 攻撃者がスパムbotを使用して、フォーム内のメールアドレス記入欄にターゲットとなるユーザーのアドレスを入力します。
- フォーム内の自由記入欄にサービスの広告リンクやフィッシングサイトのリンクを貼り付け、送信します。
- メールフォームからスパムbotが入力したターゲットのアドレス宛に自動返信メールが送信されます。
- 攻撃者はbotを利用して1~2の手順を繰り返します。そうすることで自社のメールフォームから第三者に対して多くのスパムメールが送られます。
この手口によって、第三者からしたら企業側を攻撃者としてみなしてしまい、結果企業としての信用を失ってしまうのです。
◆対策方法について
メールフォームにおけるスパム対策をご紹介します。
必須項目やチェックボックスを設置する
必須項目が設定されているものやチェックボックスなどは、スパムbotのプログラムでは対応しきれないので、対策として効果的と言えるでしょう。
しかし、近年スパムbotも進化を遂げているので、他の対策との合わせ技が必要になります。
自動返信メールを送信しない
前項にもある通り、自動返信機能を悪用されるケースがあるのでメールを送らないようにしてしまえば被害は未然に防げます。
しかし、問い合わせ担当者の負担が増えたり、問い合わせ受付メールが受信できないことで送信されていないのではないか?とユーザーが判断してしまう可能性があるので注意が必要になります。
アクセス制限を利用する
特定のドメインやIPアドレスに対して制限を設けることで、botによるスパム連続投稿を防ぐことができます。
しかし、自社で行う場合には特定の知識が必要になったり、フォームから送られた内容を全て手作業で確認するなど時間を要します。
手間をかけずに制限をする場合、そのような機能が搭載されているフォーム作成ツールを利用すると良いでしょう。
reCAPTCHAを利用する
reCAPTCHAは、Googleが提供しているスパムbotからの投稿を防いでくれる無料サービスです。
「reCAPTCHA v2」と「reCAPTCHA v3」の2種類あります。
「reCAPTCHA v2」はフォーム内に「私はロボットではありません」と記載されたチェックボックスを設置するものです。チェックをすると複数枚の画像が表示され、特定条件に合った画像を選択させることでbotかどうかを見分けます。
「reCAPTCHA v3」はWebサイト上でのユーザーの行動を分析し、botかどうかを見分けることができます。
「reCAPTCHA v2」は画像選択の手間があり、離脱にもつながってしまう可能性があるため、「reCAPTCHA v3」をお勧めします。
◆まとめ
Webサイトの規模に関わらず、しっかり対策がされていないメールフォームは攻撃される可能性が高いです。
また、メールフォームに届くスパムメールを放置するとユーザーやクライアントにも被害が及んでしまうので早めの対応が必要になります。
フォームのセキュリティは企業への信頼にもつながるのでしっかり見直しましょう。