2025年05月16日
お問い合わせフォームに最強のスパム対策!迷惑メールを完全に防ぐ8つの方法
この記事では、スパムBOTの特徴を理解した上で、
簡単に導入できるフォーム防御のテクニックを8つ紹介します。
「ウチは大丈夫」と思っている方こそ、ぜひ一度チェックしてみてください。
実はWordPress(ワードプレス)での案件を除くと、お問い合わせフォームを作る案件自体が珍しいのですが、 やはり通常のコーポレートサイトではセキュリティに直結する部分となります。
まったく対策をしていないと即BOT攻撃に見舞われてしまい
メールがパンパン送られてきたり
最悪踏み台にされてしまい、サーバーからHPを消さねばならない事態に陥ったりします。
WordPressなどは狙われやすく通常のContact Form 7(コンタクトフォーム7)だけでは守れません。
多くのサイトはここにGoogleのreCAPTCHA(リキャプチャ)を入れてお終い。
と、言うよりも99%くらいのフォームがこの状態ではなかろうか?
でも、reCAPTCHAは半有料化してしまいました。
HP製作会社としては痛すぎる状況が昨今続いていますよね。
ちなみに、このサイトにはどこにもreCAPTCHAがありませんし、導入もしておりません
これからも入れるつもりは毛頭ありません。
普通のお問い合わせフォームはなぜ狙われスパムメールが来るのか?
ご相談を頂いたのは
「迷惑メールが止まりません!助けて!』
という深刻な相談から。
そのサイトはWordPressサイトですが、reCAPTCHAさえありませんでした。
そりゃ・・・ね。
ひとまず即効性を考え
reCAPTCHAを設置すると即迷惑メールは止まりましたが
見てみると、WordPressの更新系統が2022年で止まっており、深刻な状態でした。
デザイン崩れを防ぐために、更新を止めてしまう事業者も多くおりますが
このサイトは何年も放置されており、逆に今までよく大丈夫だったな…。
という奇跡のサイトでもあります。
そもそもお問い合わせフォームを狙っているのは何なのか?まずは敵を知る。
お問い合わせフォームを攻撃しているのは【悪質なハッカー】ではございません。
大企業の場合、そのようなケースもありますが 中小企業や一般サイトの場合
【BOT】といわれる不正なプログラムがメインとなります。
そのプログラムをGoogleやAmazonのクラウドサーバーに入れて、世界中に散らばるサイトを攻撃対象としているわけです。
昔は海外IPを遮断すれば済んだのですが、今の時代はVPNなどを使い
日本IPを使って攻撃してきやがります。
何をしたいのか?は、人によって違いがあると思いますが 多くは広告などをばら撒くプログラムで最低な場合はマルウェアをばら撒いてきます。
迷惑極まりませんね。。。。
お問い合わせフォームのスパム対策!BOTの性質を知る。
上記あげたように、よほど恨みを買っている場合や、大企業を除くと ハッカーによる直接攻撃ではない事がわかります。
1.多くの場合BOTはJavaScriptを利用していない。
確率的には7割程度のBOTがJavaScript(ジャバスクリプト)を利用せず飛んできます。
理由は様々な要因がありますが
一つはクラウド利用料金が高くなりすぎる事があげられる
そしてもう一つは、自分自身がマルウェア感染してしまうリスクがある(爆笑)
という事
2.指定攻撃では無く、脆弱性を狙い撃ち攻撃する。
●●企業へ直接飛んでいけ!みたいな攻撃方法では無く 予め脆弱性を持っているWordPressやプラグイン、プログラム、URL を定めてランダムなサイトを狙い撃つ攻撃をしてきます。
3.狙いはハッキングかメール送り付け
攻撃には二種類あります。サイトを踏み台にして全世界に迷惑メールを送り付ける
またはフォームに大量に送り付ける。
後は脆弱性を狙い侵入として使う。
考えておかねばならないのはこの3点であり、防御のかなめとなります。 以下お問い合わせを守る方法を8つ。
8つのスパム対策!お問い合わせフォームを絶対に守る。
1.contactというURLを避ける。
『contact』というURLは狙われます。 contact=お問い合わせがあると知られている為実に簡単にお問い合わせフォームのありかを BOTに教える事になります。
2.JavaScriptがONじゃないとフォームが起動できないようにする。
上記あるように、そもそもBOTにはJavaScriptを使う為の制限が在る為
これをいれるだけで6割程度のBOT攻撃を回避可能です。
ただし、ごく稀にJSを切っている人もいるため、そういう方のために必ずメッセージを出す事
3.日本語限定のフォームを一か所でいいので作る。
日本の攻撃者も多くおりますが、やはり攻撃は海外からが多く ちょっとした日本語限定箇所を入れるだけで大きく防御力が上がります。
4.サニタイズを必ず行う。
送信情報を絶対に信じない。
その為、送信情報のクリーニングは必須と言えます。
絶対に入れましょう。
5.情報送信とメーラー情報を分断する。
通常のお問い合わせフォームは、フォームで打ち込んだ情報をそのままメールとして送信されます。
しかし、ここをあえて分断することで乗っ取りのリスクを回避します。
フォームで情報が送られたら、まずサニタイズをし
次にそれをJSON化させます。そしてそのJSON化された情報を元にメールに送る。
一見無駄な行動に見えますが
これをやると大切なメーラー情報などがネット非公開エリアに隠せたり
BOTから見ると成功の可否が見えなかったりなど色々なメリットがあります。
6.送信回数制限を行う。
ミスもある為、一日5通までなどにすると効果的 たとえ人的に攻撃されても揺るがない要塞と化します。
7.プラットフォームを避ける。
みんなが使っているから安心だろうは、失敗の元
確かにアップデートは繰り返されますが、プラットフォームこそBOTの主戦場
その為、みんながよく使うこんなツール、あんなツールは危険となります。
※だからと言って素人が適当に作るとヤバいですが・・・。
8.ブロックするための情報を得る。
お名前や住所電話番号などを聞くだけでは十分とは言えない。
まず、攻撃された時に即時そのBOTなり人なりをブロックできるように
情報を吸い上げるのも重要と言えます。
例えばIPなどを情報としてあればIPブロックという技も使えるという事です。
以上8つのお問い合わせフォームを守るための技となります。
勿論GoogleのreCAPTCHAを使うのも良いとは思いますが、できたら他社に頼らず守りたいですよね。
さて、その後そのお客様はというと。
勿論お客様にお話をしWordPressを更新、それとContact Form 7を守るための手段を入れて ご対応をさせていただきました。
セキュリティは"技術"より"習慣"です。
ちょっとした意識と設計の工夫だけで、99%の被害は防げます。
大切なビジネスを守るためにも、フォームから守っていきましょう。
昨今本当に危ない攻撃が多いので、あなたもフォームの防御を見直されてはいかがでしょうか?
