問い合わせフォーム「Contact Form 7」によるスパムメール・迷惑メール対策

2022年1月21日2024年1月18日セキュリティ

昨今、Webサイト上の問い合わせフォームを悪用したスパムメールの被害が急増しております。

弊社でも、WordPressプラグイン「Contact Form 7」におきまして、お客様が作成されたフォームに関連するスパム攻撃の増加しております。

具体的には、「Contact Form 7」を利用したフォームが不正アクセスによってスパムメールが送信される事例があります。
その結果、メール送信数の制限がかかり、必要なメールの送信が制約される可能性があります。

必要なメールをきちんと届けるためにも問い合わせフォームを設置されているみなさまは、スパム対策を行うことをおすすめいたします。ぜひご参照ください。

問い合わせフォームを悪用したスパムメール・迷惑メールの概要

Webサイトに設置している問い合わせフォームを使ってスパムメールが送られてくる現象が、多発しています。

スパム行為の手法

問い合わせフォームへの入力や送信を自動的に行うプログラムがあり、それを使って行われることが多いです。

WordPressで「Contact Form 7」のプラグインを用いて問い合わせフォームを設置しているサイトに、特に多く見られます。

しかし、他の問い合わせフォームであっても同じ手法を使うことは可能なため、対策は必要となります。

スパム行為の種類

スパム行為は主に2種類見られます。

自動返信機能を悪用したスパム・迷惑メールの大量配信

問い合わせ主のメールアドレス欄に他人のアドレスを入力することで、自動返信によってスパムメールを送りつける行為です。

運営者へスパムメールを送るという手法

問い合わせ内容がWebサイト運営者のEメールアドレスへ送られる仕組みを使って、サイト運営者へスパムメールを送るという手法もあります。

スパム行為を放置した場合の影響

「自動返信機能を悪用したスパム・迷惑メールの大量配信」のスパム行為を放置した場合の影響が、特に大きくなります。問題は以下の2つです。

このような問題が起こり得るため、スパム対策を行うことが必要となります。

「Contact Form 7」スパムメール・迷惑メール対策

reCAPTCHA (v3)の有効化

最も効果の高い対策の1つが、reCAPTCHA (v3)を有効にすることです。reCAPTCHAとは、無料で使えるGoogleのサービスで、Webサイトを保護するためのセキュリティ機能です。

「Contact Form 7」以外のプラグインや、PHPやPerlなどで問い合わせフォームを設置している場合にも有効な対策です。また、問い合わせフォーム以外に、ログイン時のセキュリティにも使えます。

設定や登録は、reCAPTCHAの公式サイトから行えます。

「Contact Form 7」をご利用の方は、下記よりreCAPTCHAの導入手順をご確認いただけます。

・reCAPTCHA（v3）
https://contactform7.com/recaptcha/

.htaccessで国外IPアドレスからのアクセスを制限

2つ目の対策は、.htaccessファイルに記述を加えることによって、IPアドレスの制限をかける方法です。

弊社のサービスを例に記述方法をご紹介します。

注意点として、.htaccessファイルはWordPressのルートディレクトリに設置するのが無難です。ルートディレクトリ以外の場合、複数のファイルを設置する必要があったり、思わぬエラーになったりする可能性もあります。

また、IP判定にも漏れがあるため、個別にIP制限をかけるのはあまり推奨できません。

個別に制限をかけるよりは「reCAPTCHA」の対策を行うことをおすすめします。

まとめ

WordPressのサイトで多発しているスパムメールの概要と対策をお伝えしました。

本記事で紹介したスパムは脆弱性によるものではなく、問い合わせフォームの機能を使う行為であるため、まずは対策をしていただくことが大切です。

その他、WordPressやプラグインのバージョンは常に最新の状態へ更新していただくよう、お願いいたします。