WordPressにおける問合せフォーム(コンタクトフォーム)の自動返信機能を悪用した迷惑メール対策についてまとめました。
問合せフォームの自動返信機能
WordPressでは、「Contactform7」など問合せフォーム(コンタクトフォーム)を実装するためのプラグインがあります。
自動返信機能とは、ユーザーが問合せフォームに「メールアドレス」と「問合せ内容」を投稿すると、ユーザーに受付完了メールを自動で送信する機能です。
(一般的に受付完了メールの本文には、投稿した問合せ内容も記載されます)
この自動返信機能は、以下のようにスパムメール送信に悪用されることがあります。
①攻撃者が問合せフォームに「攻撃対象のメールアドレス」と「スパムメールの内容(例えば、「フィッシングサイトに誘導する文章」)」を送信。
②攻撃対象のメールアドレス宛に「受付完了メール(スパムメールの内容入り)」が届く。
このように「問合せフォーム」を設置しているサイト運営者は、知らない間にスパムメールの加害者となってしまう恐れがあるため、悪用を防ぐ対策が重要です。
対策①自動返信機能を無効化
根本的な対策としては「お問合せフォームの自動返信機能を無効化」するっことが挙げられます。
「Contactform7」など主要なプラグインだと無効化機能があります。
対策②認証機能(reCAPTCHAなど)の導入
お問合せフォームの自動返信機能は残したいという場合、認証機能(reCAPTCHAなど)の導入による対策も有効です。
reCAPTCHAはGoogle社が提供するキャプチャ認証システムで、問合せ内容の送信時に画像認証を行って、機械的な自動送信を防ぎます。
対策③海外IPアドレスからのアクセスを制限
不正アクセスの多くは海外のIPアドレスからが多いため、「.htaccess」ファイル等で海外IPアドレスから問い合わせフォームへのアクセスを制限するのも有効な対策です。
参考文献
- 【注意喚起】サイトに設置いただいたお問合せフォームへの攻撃、悪用が多発しています
- 【注意喚起】メールフォーム(問い合わせフォーム)の仕様を悪用したスパムメール配信行為への注意喚起、ならびに対策のお願い
–今、お問い合わせフォーム(メールフォーム)が危ない! 不正アクセスの増加と対処方法
【Linuxコマンド入門】主なコマンドとサンプル集
Linuxコマンドの主な使い方とサンプル集について入門者向けにまとめました。
algorithm.joho.info
2018.06.25
コメント