メルマガ【かえで通信】登録はコチラ
かえで通信メルマガ登録リンク
メルマガ登録はコチラ
かえで通信メルマガ登録リンク

お問い合わせフォームを悪用されないためのセキュリティ対策※BN

お問い合わせフォームを悪用されないためのセキュリティ対策 セキュリティ

こんにちは!

かえでです。

先日、

 ブログを開設したら
【お問い合わせフォーム】を設置しましょう!

ということをお伝えしました。

お問い合わせフォームに関する過去記事

お問い合わせフォームを設置してなかったので、大変な事態になった知人の話でした。

トラブルに巻き込まれないために、そして大切な機会損失とならないためにも、
「やっぱりお問い合わせフォームは設置しましょう!」というお話です。

ところが、、、

このお問い合わせフォームにもトラブルが発生していたことが分かりました!

トラブル

お問い合わせフォームが悪用され、あなたも加害者になる危険!?

結論からお伝えすると、WordPressをご利用なら、よく目にするプラグイン

【Contact Form 7】

を利用している人に降り掛かった事例です!

 
あ、

と言っても、Contact Form 7に不具合が…
とか、Contact Form 7が悪いわけでは決してありません。

Contact Form 7に備わっている、【自動返信機能】を、悪用されてしまった事例です。

この事例に関しては、たとえプラグインを最新の状態に更新していても関係ないようです。

でも、ご安心を!

単純な話、Contact Form 7を利用するのなら、この自動返信機能をオフにすれば全く問題はありません。

Contact Form 7の事例を知ったキッカケ

私自身、Contact Form 7は使っていなくて、別のメールのお問い合わせフォームを使っているため、このContact Form 7を悪用された事例は知りませんでした。

先日のお問い合わせフォームについてのメルマガを書いたのをきっかけに情報収集した流れで、この事例が耳に飛び込んできたのです。

Contact Form 7の自動返信機能とは

さくらレンタルサーバーの会社が運営しているホームページ教室というサイトの記事を引用させてもらいます。

「昨今、Webサイトのお問い合わせフォームを狙った大量メール送信攻撃が急増しています。手口は非常に古典的で、フォームから問い合わせをした際に送信される「お問い合わせありがとうございました」メールを悪用します。

1.お問い合わせした人のメールアドレス欄に、スパムメールを送りたいメールアドレスを入力
2.お問い合わせ内容にフィッシングサイトや広告のリンクを入力
3.送信ボタンをクリック
4.お問い合わせありがとうございました!の確認メールが1で入力したアドレスに送信される。問い合わせ内容も含んだ自動返信が送られるので、結果的に広告メールを他人のサーバーから送信できる」
参照元:さくらのホームページ教室
原文URL:https://rs.sakura.ad.jp/column/rs/website-form-security/

「なんとまぁ…」という内容ですね。

お問い合わせをした時に、とりあえず送られてくる自動返信メール。

楽天とかでも注文すると、とりあえず楽天からの自動返信メールが来て、その後に、ショップから正式な注文を受けたメールが来ますが、そんな感じで

「お問い合わせ有り難うございました。」
「お問い合わせ内容については、○日以内に…」

というようなことが記載されたメールです。

もはや、性善説で作られた色々なものを詐欺集団は、あえてそこにつけ込むことで、いとも簡単に悪用できてしまった事例です。

あなたが加害者になってしまう!?

先程の、さくらのホームページ教室に記載の方法で被害に遭うと、結果的に、あなたが加害者にもなりえます。汗

これはなんとしても避けたいです!

Contact Form 7が人気のプラグインなゆえに詐欺グループに狙われやすいのも事実。

それだけ、Contact Form 7としても対策を強化していて、デフォルトではこの自動返信機能はオフに設定されています。

それでも、この自動返信機能って便利そう♪と思ってオンにして利用してしまうと今回のような事例に遭遇してしまうようです。

自動返信機能を利用しているブログが有名、無名は関係ありません。

やっぱりセキュリティ強化

さくらのホームページ教室でも推奨しているのが、私も愛用しているセキュリティサービス

reCAPTCHA(リキャプチャ)

※Googleのサービスです

私は、WordPress自体を乗っ取られないように、不正ログインされないようにするために、このサービスを利用しています。

よくこういうセキュリティ関係のものって特にGoogle系なので、

ひどく読みづらい英数字が表示されていて、それを書き込むことで自分はロボットじゃないと伝える方法 ※v1(バージョン1)

「私はロボットではありません」をクリックすると現れる、
「この画像の中の自動車タイルを全て クリックしてください」とでる例の画像
 ※v2(バージョン2)

というのがあります。

あれらは、正直な話、私はすっごくうっとうしく感じてました。

特に、バージョン1なんて、本当に読みにくいし、一生懸命入力してもNGになったりするし、、

バージョン2だって、信号機パターン、橋パターン、山パターンとあって、一部はやっぱりわかりにくくって、「もしかしてコレも対象?」とよく悩みました。

でも、今はv3(バージョン3)です!だいぶ使いやすくなりましたよ♪

reCAPTCHA、初めて使う時はとまどいそうですが、導入方法を図解してくれているサイトがありました。

 ⇒ noliblog ノリさんという方の記事

時々、WordPressを乗っ取られたというニュースも見聞きしますので、このメルマガを機に、まだ未導入なら導入を考えてみてくださいね。

乗っ取られたことは無いけどコピペされたことはあります

幸運にも、私はまだワードプレスもHTMLサイトも乗っ取られたことは無いです。

でも、記事を悪用されたことはあります。

NG行為

ある日、アクセス解析を見ていたら、なんだかひっかかるURLがあって、調べたところ、とあるポイントサイトで、記事を更新して報告するとポイントが貯まるというサービスでした。

しかも、完全に私のブログのブログタイトルのまま、記事も丸々私の記事をそのまま報告してポイントを貯めている人がいました。

別に、だからといって私に害は無い感じだけど、単純に気持ち悪いですよね~。

そのブログはライブドアブログで、当時は、ライブドア発行のメールアドレスが使えたので、そのメールアドレスからそのサービス会社に連絡し対処してもらいました。

ブログと同じアカウントのメールアドレスなので、スムーズにそのブログが私のブログだと証明♪

その後、ライブドアメールが廃止になったので、それからなら自分のブログだと証明するのも面倒な手続きが要ると思うので連絡するのは諦めたかも…。ある意味、タイミングがまだ良かった!?

あと、私の記事を丸々コピペしてアフィリリンクだけ自分のに変えてアップしてるのを発見したこともあります。

意味が分からない

その時の記事は、購入後にアンケートに回答するという条件で3,000円も割引してもらって購入できる案件の紹介記事でした。

販売者の都合で、「このアンケートについて触れるのは今後は禁止!」というお達しが届き、せっせと記事を修正していた時に発見しました。

私の記事を丸々パクッた人に連絡するにしても、お問い合わせフォームも無いし、、

その記事から万が一売れても書いてはいけないアンケートについて大々的にアピールした記事だったので、広告主さんから却下されるんだし、、と、気分は良くないけど連絡もしようもないしそのまま忘れることにしました。

あなたも注意してくださいね。

※ 9月28日のメルマガをブログ記事に再編したものです。

タイトルとURLをコピーしました