お問い合わせフォームで悪用被害が急増中

さくらのレンタルサーバーより、Web サイトのお問い合わせフォームを狙った大量メール送信攻撃が急増していると警告がされています。

Webサイトのお問い合わせフォームを狙った大量メール送信攻撃が急増しています。
概要や対策方法などの記事を公開しましたので、ご覧ください。#Web制作 #セキュリティ #レンタルサーバーhttps://t.co/aBLVOEvKss

— さくらのレンタルサーバ (@sakura_server) December 7, 2020

以下の記事によると、お問い合わせフォームの自動返信メール機能を悪用したものになります。

Webサイトのフォームで悪用被害急増中！加害者にならないためのフォーム設置講座 | さくらのホームページ教室

具体的には、お問い合わせフォームをメールアドレス欄にスパムメールを送信したいメールアドレスを入力し、本文にスパムメールの内容を入力します。すると、自動返信メールの中の問い合わせ内容にスパムメールの内容が含まれてしまい送信されてしまいます。

この攻撃のやっかいなところは、お問い合わせフォームの自動返信メールを使っているので、送信者のメールアドレスが Web サイトの問い合わせ先になってしまうことです。

万が一、スパムメールにより被害が発生したら、攻撃者が Web サイトになってしまいます。被害者のはずが攻撃者に変わってしまいます。

記事によると、お問い合わせフォームスパムの約9割が WordPress の Contact Form 7 とのことです。Contact Form 7自体が悪くないとは記事で言っていますが、対策は必要でしょう。

お問い合わせフォームスパムへの対処方法は簡単で、自動返信メールの送信設定を無効にすることです。

記事にもありますが、自分の Web サイトは小さいから大丈夫ということはありません。攻撃は無差別に行われます。逆に、脆弱（ぜいじゃく）な設定が行われていることがバレてしまえば、集中的に攻撃されます。

ユーザー体験が若干損なわれてしまいますが、スパムメールの踏み台にされたらビジネス上の信頼が失墜してしまいます。

私もお問い合わせフォームを設置しているので、自動返信メール設定を無効にしました。

年末年始のこんな時期ですが、しっかりと対応したいですね。