問い合わせフォーム「Contact Form 7」によるスパムメール・迷惑メール対策

2022年1月21日セキュリティ

問い合わせフォーム「Contact Form 7」によるスパムメール・迷惑メール対策

昨今、Webサイト上の問い合わせフォームを悪用したスパムメールの被害が急増しております。

弊社でも、WordPressプラグイン「Contact Form 7」におきまして、お客様が作成されたフォームに関連するスパム攻撃の増加しております。

具体的には、「Contact Form 7」を利用したフォームが不正アクセスによってスパムメールが送信される事例があります。
その結果、メール送信数の制限がかかり、必要なメールの送信が制約される可能性があります。

必要なメールをきちんと届けるためにも問い合わせフォームを設置されているみなさまは、スパム対策を行うことをおすすめいたします。ぜひご参照ください。

問い合わせフォームを悪用したスパムメール・迷惑メールの概要

Webサイトに設置している問い合わせフォームを使ってスパムメールが送られてくる現象が、多発しています。

スパム行為の手法

問い合わせフォームへの入力や送信を自動的に行うプログラムがあり、それを使って行われることが多いです。

WordPressで「Contact Form 7」のプラグインを用いて問い合わせフォームを設置しているサイトに、特に多く見られます。

しかし、他の問い合わせフォームであっても同じ手法を使うことは可能なため、対策は必要となります。

スパム行為の種類

スパム行為は主に2種類見られます。

自動返信機能を悪用したスパム・迷惑メールの大量配信

問い合わせ主のメールアドレス欄に他人のアドレスを入力することで、自動返信によってスパムメールを送りつける行為です。

運営者へスパムメールを送るという手法

問い合わせ内容がWebサイト運営者のEメールアドレスへ送られる仕組みを使って、サイト運営者へスパムメールを送るという手法もあります。

スパム行為を放置した場合の影響

「自動返信機能を悪用したスパム・迷惑メールの大量配信」のスパム行為を放置した場合の影響が、特に大きくなります。問題は以下の2つです。

  • 不特定多数への迷惑メールの発信元アドレスとして使われてしまうことがある
  • ドメインの不正利用と判断され、自分のサイトのドメインの評価が下がることもある

このような問題が起こり得るため、スパム対策を行うことが必要となります。

「Contact Form 7」スパムメール・迷惑メール対策

reCAPTCHA (v3)の有効化

最も効果の高い対策の1つが、reCAPTCHA (v3)を有効にすることです。reCAPTCHAとは、無料で使えるGoogleのサービスで、Webサイトを保護するためのセキュリティ機能です。

「Contact Form 7」以外のプラグインや、PHPやPerlなどで問い合わせフォームを設置している場合にも有効な対策です。また、問い合わせフォーム以外に、ログイン時のセキュリティにも使えます。

設定や登録は、reCAPTCHAの公式サイトから行えます。

「Contact Form 7」をご利用の方は、下記よりreCAPTCHAの導入手順をご確認いただけます。

・reCAPTCHA(v3)
https://contactform7.com/recaptcha/

.htaccessで国外IPアドレスからのアクセスを制限

2つ目の対策は、.htaccessファイルに記述を加えることによって、IPアドレスの制限をかける方法です。

弊社のサービスを例に記述方法をご紹介します。

コアサーバーV1/Xrea/Value-Serverの場合

SetEnvIf MM_COUNTRY_CODE JP AllowCountry

order deny,allow
deny from all
allow from env=AllowCountry

コアサーバーV2

SetEnvIf GEOIP_COUNTRY_CODE JP AllowCountry

Deny from all
Allow from env=AllowCountry

注意点として、.htaccessファイルはWordPressのルートディレクトリに設置するのが無難です。ルートディレクトリ以外の場合、複数のファイルを設置する必要があったり、思わぬエラーになったりする可能性もあります。

また、IP判定にも漏れがあるため、個別にIP制限をかけるのはあまり推奨できません。

個別に制限をかけるよりは「reCAPTCHA」の対策を行うことをおすすめします。

まとめ

WordPressのサイトで多発しているスパムメールの概要と対策をお伝えしました。

本記事で紹介したスパムは脆弱性によるものではなく、問い合わせフォームの機能を使う行為であるため、まずは対策をしていただくことが大切です。

その他、WordPressやプラグインのバージョンは常に最新の状態へ更新していただくよう、お願いいたします。

▽キャンペーン開催中!
コアサーバーでは、V2プランとドメインの同時申し込みで
ドメインが実質0円(年間最大3,882円お得)になるサーバーセット割特典
を展開中です。
是非、お得なこの機会にご利用ください!
最新のキャンペーンは
こちらから

超高速化を実現するレンタルサーバー CORESERVER

この記事を監修した人
藤田伸広
藤田 伸広

GMOデジロック インフラエンジニア
データセンター周りから運用まで担当しております。営業職からエンジニアに転職して15年。趣味は自然に触れる事と音楽鑑賞。
▽登壇実績
https://cloud.watch.impress.co.jp/docs/event/1080198.html

Posted by admin-dev


おすすめ関連記事

service

Value Domain
ドメイン取得&レンタルサーバーなら
Value Domain
ドメイン登録実績600万件を誇るドメイン取得・管理サービスと、高速・高機能・高品質なレンタルサーバーや、SSL証明書などを提供するドメイン・ホスティング総合サービスです。
目次へ目次へ