代表的なお問い合わせフォームのスパム対策

2023.03.08

これまでスパムメールといえば、中国・香港・台湾・韓国・北朝鮮・ロシアからのもがほとんどだったのですが、最近はアメリカやヨーロッパからも増えてきました。
もちろん、実際にその国から送信されているかどうかは不明で、多くは送信元を偽装していると言われています。

それではお問い合わせフォームからのスパムメールにはどのような対策が考えられるのかご紹介します。

■contactやinquiry、Mailformなどのよく使われる名前の使用をやめてみる
お問い合わせフォームからのスパムメールでご相談いただく際のフォルダ名やファイル名の名前のほとんどはcontactやinquiry、mail、mailformです。
スパムメールが届いているサイトの他の名前のフォームはそもそも狙われていないことが多いです。
例えばrecruitなど採用系の名前のファイルやフォルダに設置してあるフォームは問題がなかったりします。
そのため、これからホームページを制作しようとしている方は、メールフォームを設置するページ名・ファイル名を、例えばローマ字で「otoiawase」や「tegami」などにしてみると、そもそも攻撃対象になりにくいと思います。
その際、ページ名だけでなくメールフォームを実行するファイル名もローマ字にするとより効果的だと思います。
ローマ字を理解出来るのは日本人だけですから。

■アクセス制限
特定個人のIPアドレスやサービス単位、国単位でそもそもの閲覧をブロックしてしまう方法です。
既にスパムメールの攻撃を受けている場合、職種や事業規模にもよりますが、「日本とGoogleのサービス以外全てブロック」してしまう方法がおすすめです。
日本国内にいる個人による嫌がらせもIPアドレスさえ分かればブロックできます。

スパムメールはIPアドレスを偽装して送信されることが多いそうですが、この方法の問題点として、日本国内のIPアドレスを偽装されてしまうとブロックが難しいという点があります。
まだあまり見掛けませんが今後注意が必要かも知れません。

■Google reCAPTCHA v2またはv3の設置
Google reCAPTCHA は、Googleが提供しているスパム対策ツールです。
お問い合わせフォームにて「私はロボットではありません」にチェックを入れる機能などを搭載しており、スパムbot対策として有効なツールとなります。
Google reCAPTCHA v3では、AIがユーザーのページ内での行動をスコアとして算出し、bot判定をします。
スコアが一定に達しないユーザーに関しては、メールやSMSで2段階認証を行うので、スパムbotによる攻撃を大幅に減らせる、という仕組みです。

特にWordPressの場合、Google reCAPTCHAがないとすぐに攻撃対象になってしまいます。

完全に有効だと思ったのは上記だけで、よく有効だと言われる
・必須項目や確認画面の設置
・禁止用語リストの設定
・リファラチェック
・リンクの禁止
は完全に有効とは言えないと思います。（とはいえ、スパムメールに含まれる言葉には特徴がありますし、できるなら必須項目・禁止用語・リファラチェックは設定しておきましょう。）

それとメールフォームの自動返信機能も今後OFFにしていく方が良いかも知れません。
と言いますのも、メールフォームのメールアドレス欄にスパムメールを送信するアドレスを入れ、お問い合わせ内容を書く欄にフィッシング詐欺などのURLを含んだ内容を記載すると、大量の迷惑メールがあなたのホームページから届くことになってしまいます。

ここのところお問い合わせフォームに振り回され続けたので、書いてみました。
今現在スパムメールでお困りの方は、すぐに対応できる場合もございますので、ぜひご相談ください。

前の投稿

一覧

次の投稿