ビジネスコンサルティングの現場から

各種ビジネス・コンサルティングに携わる担当者が、日頃、「考えている事」や「気が付いた事」を不定期に発信します。

お問い合わせフォームがスパムメール送信に悪用される被害が発生!

お問い合わせフォームからスパムメール(迷惑メール)が送信

インターネット上でホームページ(ブログを含む)を開設されている方の多くは、「お問い合わせフォーム」を設置されている事と思います。

そのお問い合わせフォームが悪用され、「自分が設置したお問い合わせフォームが、スパムメール(迷惑メール)を送られるのに使われてしまった」という被害報告がありました。

この被害、お問い合わせフォームをインターネット上で公開している人であれば、誰でも被害にあう可能性があります(もちろん、対応済の場合には大丈夫です)。

そして、自分が設置したお問い合わせフォームが悪用されてしまった場合、スパムメールを送信する片棒を担がされてしまう事になるのです。

もちろん、そのような事になった場合、貴方にも被害が出る可能性があります。


では、お問い合わせフォームを悪用したスパムメール送信とは、どのような仕組みで行われるのでしょうか。


まず、今回、悪用されているお問い合わせフォームとは、

「問い合わせをする人の情報」と「運営者に伝えたい内容」などを記入して送信ボタンなどを押すと、メールが送られる仕組みになっている

ものです(メールが送信されないお問い合わせフォームは対象外です)。


そのような仕組みのお問い合わせフォームの多くでは、運営者側にメールが送られるのと同時に、問い合わせをしている人のメールアドレスにも、問い合わせ内容が書かれたメールが送られる仕様になっています。

今回の迷惑行為では、その部分が悪用されます。


具体的には、以下のような方法で、貴方が設置しているお問い合わせフォームが悪用される事になります。


・まず、貴方のホームページに設置されているお問い合わせフォームの「自分のアドレス」を記入する所に、「スパムメールを送りたい相手のメールアドレス」を記入します。

・そして、「お問い合わせ内容」の所に、「スパムメールの内容」を書きます。

・その上で、送信ボタンを押すのです(他の入力必須項目は適当に埋めます)。

※実際には、自動処理されているケースが多いと考えられます。


もうお解りですね。


貴方が設置しているお問い合わせフォームは、記入されたメールアドレスに対して、スパムメールの内容が書かれたメールを送ってしまうのです。


なお、スパムメールを送る側が、わざわざお問い合わせフォームを使ってスパムメールを送るのには、2つの理由が考えられます(直接、メールサーバーからスパムメールを送らない理由)。

まず、現在、多くのメールサーバーではスパムメールの送信は制限されており、「自分が契約しているメールサーバーからはスパムメールが送れない」という理由(今回、紹介している方法を使うと、その制約を逃れて、迷惑メールを送る事ができます)。

もう一つの理由は、お問い合わせフォームを使ってメールを送った方が、「送った相手が、スパムメールの中身を読んでくれる可能性が高い」という理由。

通常、スパムメールを送っても、メールの中身までは読んで貰えません。しかし、お問い合わせフォームからのメールを装う事で、読んで貰えるようになる可能性が高くなるのです。

お問い合わせフォームから届くメールの差出人には、お問い合わせフォームを設置している人の名前(会社名)が入っている事が多く、また、メールのタイトルも「真っ当なメールに見える」ものになっている事が多いと言えます。

単純なスパムメールと比べて、メールを開いてしまう人の気持ちはご理解頂けるのではないでしょうか。


そして、お問い合わせフォームがスパムメール送信に使われてしまうと、貴方にも2つの被害が発生する可能性があります。

まず、迷惑メールを送っているという事で、「貴方のインターネット上での様々な資源に制約がかかる」という可能性があります。

例えば、正常なお問い合わせも貴方の元には届かなくなったりする可能性があります。

また、スパムメールを送られた相手にとっては、貴方のお問い合わせフォームがスパムメールを送ってくる訳ですから、当然、貴方に対する印象は悪くなる事でしょう。

もし、ビジネスを行っているホームページなどであれば、大事な顧客との関係が悪化したり、将来の顧客を失ってしまう事に繋がるかもしれません。


ですから、悪用される可能性のあるお問い合わせフォームを設置している場合には、対策を検討される事をお勧めします。

手頃に出来る対応方法としては、google社がスパム対応の為に公開しているサービス(reCAPTCHA)を導入して、お問い合わせフォームを使える人を制限する(スパムメール送信者には使わせない)、という方法があります。

もちろん、方法は何でも構いません。

お問い合わせをしてきている人に対して、自動ではメールを送らないようにする手もあります。

もう少し高度な方法としては、メールアドレス認証の仕組みを導入したり、入力項目を工夫して、自分(自社)の事を良く理解していない人だと送信できないような仕組みにしたりする方法も考えられます。

とにかく、スパムメールを送る事を目的とした人に、お問い合わせフォームからメールを送らせないようにさえすれば、被害は防げます。

以上、せっかく設置しているお問い合わせフォームが、本来とは違う目的の為に利用されてしまう、という迷惑この上ない話ですが、実際に被害が発生している以上、対応するしかありません。

お問い合わせフォームを設置されている方は、ぜひ、対応をご検討下さい。