お問い合わせフォーム(Contact Form 7)が狙われている!対処方法は?

こんにちは。エンジニアの高田です。

2020年12月8日にサーバー会社のさくらインターネットより下記のような注意喚起が発表されました。

Webサイトにおいてお問合せフォームを設置しているサイトへの攻撃が急増しております。WordPress等の脆弱性に起因するものではなくプラグイン等の標準機能を悪用した攻撃のためお客様側での設定変更、設定見直しが必要です。

(中略)

WordPressをご利用の場合、フォームプラグインのContact Form 7が対象となるケースが多く見られますが、それ以外のフォームプラグイン、プログラムでも被害が出ています。

自動返信機能があればWordPressに限らず全てのフォームで攻撃対象となりますのでご注意ください。

さくらインターネット – お知らせ「お問合せフォームを悪用する攻撃増加に関する注意喚起

被害内容は?

お問い合わせフォームには、お問い合わせした人に入力した内容を確認のためにメールで自動返信する機能がついていることが多いです。

普通であれば、お問い合わせフォームのメールアドレス欄にお問い合わせした本人のメールアドレスを入力しますよね。

この被害は、悪意のある第三者がこれを利用し、メールアドレス欄に他人のアドレスを入力して迷惑メールを送信するという攻撃手法のようです。

このような被害が発生すると、他人に迷惑がかかるだけではなく、サーバが持つIPアドレスの評価が下がったりブラックリストに登録されたりしてしまいます。IPアドレスの評価が下がる、あるいはブラックリストに登録されてしまうと、正常なメールまでもが迷惑メールとして判定されたり、そもそメールが受け取れないなどの問題が起こってしまいます。

対応策

お問い合わせフォームの不正アクセス対策はいくつか存在します。
それぞれの方法にメリット・デメリットが存在するため、いくつかの方法を併用して対策する必要がありそうです。
先程のさくらインターネットからの注意喚起にも以下のような対策が載っています。

(対策)

・自動返信機能をOFFにする。

・Googleの不正投稿対策サービスである「reCAPTCHA」を利用する。

さくらインターネット – お知らせ「お問合せフォームを悪用する攻撃増加に関する注意喚起

対策1 自動返信メールを送らない

自動返信メールをそもそも送らないようにすれば、この被害は発生しません。

しかし自動返信メールが送られてこなければ、お問い合わせをした人は、ちゃんとお問い合わせができたのかどうか心配になってしまいます。
返信メールが来ないけど、このサイト大丈夫?とさえ思ってしまいます。

対策2 reCAPCHAを導入する

スパムメールの多くは、ロボットにより送られてくるものがほとんどです。そのため、reCAPCHA等の画像認証システムを導入することでほとんどのケースは対応できます。

事前対策として導入できますが、ロボットによる攻撃への対策のため、認証をすり抜けられてしまう可能性があります。

reCAPCHAの導入に関しては、以前書いた下記記事をご参照ください。

対策3 不正アクセスするIPアドレスからのアクセスを禁止する

アクセスログから、お問い合わせフォームにアクセスをしたホスト名、IPアドレスを特定できる場合は、.htaccessなどでアクセス制限をかける方法があります。

この方法では、そもそものアクセスから制限をかける事ができるので、お問い合わせフォームの作り・機能に関係なく、確実に制限をかけられます。

但し、攻撃者がアクセス元ホストを変更すれば、対策がいたちごっこになってしまい、事後の対策となってしまいます。


このように、お問い合わせフォームの不正アクセス対策はいくつか存在します。
最初にも述べましたが、それぞれの方法にメリット・デメリットが存在するため、いくつかの方法を併用して対策することをおすすめします。

迷惑メールにお困りの方、、ぜひお問い合わせください!

高田 美里

WRITER

ディレクター/エンジニア

高田 美里

ホームページ制作を担当しています。元々はシステム開発を行っていたため、バックエンドからフロントエンドまで対応が可能です。