お問い合わせフォームで悪用被害が急増中
さくらのレンタルサーバーより、Web サイトのお問い合わせフォームを狙った大量メール送信攻撃が急増していると警告がされています。
以下の記事によると、お問い合わせフォームの自動返信メール機能を悪用したものになります。
具体的には、お問い合わせフォームをメールアドレス欄にスパムメールを送信したいメールアドレスを入力し、本文にスパムメールの内容を入力します。すると、自動返信メールの中の問い合わせ内容にスパムメールの内容が含まれてしまい送信されてしまいます。
この攻撃のやっかいなところは、お問い合わせフォームの自動返信メールを使っているので、送信者のメールアドレスが Web サイトの問い合わせ先になってしまうことです。
万が一、スパムメールにより被害が発生したら、攻撃者が Web サイトになってしまいます。被害者のはずが攻撃者に変わってしまいます。
記事によると、お問い合わせフォームスパムの約9割が WordPress の Contact Form 7 とのことです。Contact Form 7自体が悪くないとは記事で言っていますが、対策は必要でしょう。
お問い合わせフォームスパムへの対処方法は簡単で、自動返信メールの送信設定を無効にすることです。
記事にもありますが、自分の Web サイトは小さいから大丈夫ということはありません。攻撃は無差別に行われます。逆に、脆弱(ぜいじゃく)な設定が行われていることがバレてしまえば、集中的に攻撃されます。
ユーザー体験が若干損なわれてしまいますが、スパムメールの踏み台にされたらビジネス上の信頼が失墜してしまいます。
私もお問い合わせフォームを設置しているので、自動返信メール設定を無効にしました。
年末年始のこんな時期ですが、しっかりと対応したいですね。