昨日、さくらインターネットのメールマガジンにて、お問い合わせフォームを悪用したスパムメール被害が急増しているというニュースを確認しました。特にWordPressを導入しているサイトで利用が多い「Contact Form7」が狙われやすいということです。今回はContact Form 7を導入しているサイトに対して、どのような対策を施せばよいのかご紹介します。
Contact Form7の被害が多いわけ
なぜContact Form7を利用しているサイトで被害が急増しているのでしょうか。それはシステム的に何か脆弱性があるわけではありません。ただ単にこのプラグインを実装しているサイトが多いため、結果的にそうなってしまうのです。日本国内のWordPress利用サイトの約9割でこのプラグインが実装されているわけですので、そうなってしまうのは当然でしょう。
これだけ多くの利用者が存在するプラグインですので、脆弱性が発見された場合の対処も速く、下手に他のプラグインを利用するよりもこのプラグインを利用し続けるほうが良い結果を得られると思います。
Contact Form7での対処方法
今回ニュースになった被害の多くは「自動返信機能」を悪用したものだと言われています。自動返信機能とはフォームに入力した情報が入力したメールアドレス宛にも届くもの。多くの場合、自分のメールアドレスを入力するため自動返信メールは自分宛に届きます。しかし、今回の被害では敢えて他人のメールアドレスを入力して、入力した内容をそのメールアドレスの持ち主に送ります。
当然、そのお問い合わせ内容には悪意ある情報が含まれており、そのメールを受け取った本人はその被害にある確率が高まります。また、メールフォームを設置している企業が「送信先」になっているため、メールフォームを悪用された企業はいつのまにか加害者側になっているという状態になります。当社のメールフォームが悪用されれば、当社がスパムメールを送っていることになってしまうのです。
このような被害を食い止めるために何をすればよいのか。簡単です。Contact Form7の自動返信機能をオフにしましょう。具体的にはContact Form7の管理画面の「メール」タブの中で、「メール(2)」のチェックを外すだけです。これで自動返信メールが送られなくなります。
同時に、メールフォームを設置しているページに「スパムメール対策のため、自動返信機能を無効にしています。予めご了承下さい」というような文言を加えておきましょう。これでメールフォーム利用者も理解した上で使用してくれると思われます。詳細はさくらインターネットのウェブサイトに載っているので御覧ください。
