1. ホーム
  2. マニュアル
  3. トラブルからの復旧
  4. メールフォームを悪用した不正アクセスについて

メールフォームを悪用した不正アクセスについて

本マニュアルは新・旧サーバーパネルに合わせて2種類ご用意しています。

サイト上に設置したお問い合わせ用などのメールフォームにおいて、悪意を持った人物がお問い合わせ内容にスパム(フィッシングサイトのURLや宣伝広告など)、連絡先欄に無関係な第三者のメールアドレスを入力して送信することで、自動返信機能により無関係な第三者へスパムメールを送信するという攻撃です。

メールフォームの悪用の流れ

このようなスパムメールが送信されるとメールの受信者に被害が及ぶだけでなく、サーバーが持つIPアドレスのレピュテーション(評判)が下がり、ブラックリストに登録される恐れがあります。ブラックリストに登録されると正常なメールでさえも送信できなくなるなどの問題が発生します。

こういったメールフォームを悪用した不正アクセスには以下のような対策が有効です。

reCAPTCHAとはGoogleが無料で提供しているセキュリティ対策ツールです。
これにより人間からのアクセスかロボットからのアクセスかを判別し、ロボットからのアクセスの場合は何らかのアクションを要求するようになります。メールフォームの悪用を含め不正アクセスの大半はロボットによるもののため、reCAPTCHAの導入は対策として非常に効果的です。

プラグイン「Contact Form 7」を利用してメールフォームを設置している場合
  1. 「Google reCAPTCHA」にアクセスしてください。(Googleアカウントが必要です)
    https://www.google.com/recaptcha/intro/v3.html

  2. 「Admin Console」をクリックしてください。

    「Admin Console」をクリック

  3. 必要事項を入力し、送信をクリックしてください。

    必要事項を入力

    ラベル サイトを容易に識別できるラベル(ブログのタイトルやURLなど)を入力します。
    reCAPTCHA タイプ 「スコアベース(v3)スコアに基づいてリクエストを検証します」を選択します。
    ドメイン reCAPTCHAを導入したいサイトのドメインを入力します。
    Google Cloud利用規約の同意 内容を確認のうえ問題なければチェックを入れます。
  4. 送信完了画面に記載されている、サイトキーおよびシークレットキーをコピーして控えておいてください。

    送信完了画面

  5. WordPress管理画面を開き、左メニュー「お問い合わせ」-「インテグレーション」をクリックしてください。
    「外部 API とのインテグレーション」の画面にてreCAPTCHAの「インテグレーションのセットアップ」をクリックしてください。

    reCAPTCHA設定画面

  6. 手順4にて控えておいたサイトキーおよびシークレットキーを入力し、「変更を保存」をクリックしてください。

    reCAPTCHA設定画面

  7. 以上でreCAPTCHAの導入設定は完了です。サイトにアクセスし、以下のようなアイコンが画面右下に表示されていることを確認してください。

    reCAPTCHAアイコン

自動返信機能を無効化することにより、無関係な第三者にスパムメールが送信されることを防ぐことができます。
ただし、メールフォームに送信された通常のお問い合わせなどに関しても受付完了メールが届かなくなるため、問い合わせユーザーへ不安を抱かせる可能性があります。

プラグイン「Contact Form 7」を利用してメールフォームを設置している場合
  1. WordPress管理画面を開き、左メニュー「お問い合わせ」-「コンタクトフォーム」をクリックしてください。
    コンタクトフォームの一覧より「編集」をクリックしてください。

    WordPress管理画面

  2. 「メール」タブ内にある「メール (2) を使用」のチェックを外し、「保存」をクリックしてください。

    WordPress管理画面

当社CGIツールを利用してメールフォームを設置している場合
  1. サーバーパネルにログインし、「CGIツール」をクリックしてください。

    「CGIツール」をクリック

  2. メールフォーム欄の「一覧・インストール」をクリックしてください。

    CGIツール画面

  3. 該当ドメインの「選択する」をクリックしてください。

    CGIツール画面

  4. 「設定画面URL」のURLをクリックしてください。

    CGIツール画面

  5. 上部メニューより「自動返信メールの設定」をクリックしてください。

    メールフォーム設定画面

  6. 「自動返信メールの使用しない」を選択し、「設定を保存する(確認)」をクリックしてください。

    メールフォーム設定変更画面

  7. 「設定を保存する(確定)」をクリックしてください。

    メールフォーム設定完了

前述の対策にあわせて以下の対応を実施していただくことで不正アクセスの防止に繋がります。

古いバージョンのプログラムを使用し続けることで不正アクセスの対象として狙われるリスクが高くなります。
以下の方法にて最新版へのアップデートをしてください。

WordPressの場合

WordPress管理画面を開き、左メニュー「ダッシュボード」-「更新」をクリックしてください。
新しいバージョンがある場合、以下のようなメッセージが表示されているので「バージョン *.*.*-ja に更新」をクリックします。

WordPressの更新画面

プラグインの場合

WordPress管理画面を開き、左メニュー「プラグイン」-「インストール済みプラグイン」をクリックしてください。
新しいバージョンが利用できるプラグインでは以下のようなメッセージが表示されているので「更新」の箇所をクリックします。

WordPressのプラグイン画面

テーマの場合

WordPress管理画面を開き、左メニュー「外観」-「テーマ」をクリックしてください。
新しいバージョンが利用できるテーマでは以下のようなメッセージが表示されているので「今すぐ更新」の箇所をクリックします。

WordPressのテーマ画面

ご利用中のプラグインやテーマファイルの配布元、または以下サイトにて脆弱性情報が公開されていないか確認してください。

※脆弱性とは、OSやソフトウェアにおいてプログラムの不具合や設計上のミスが原因となって発生するセキュリティ上の欠陥のことをいいます。
脆弱性のある状態でシステムを利用し続けていると、不正アクセスされたり、ウイルスに感染したりする危険性があります。

JVN iPedia 脆弱性対策情報データベース
 国内外で発見された脆弱性情報を確認することができます。

JPCERT Coordination Center
 国内で発見された脆弱性情報を確認することができます。

ファイル管理(ファイルマネージャ)にて以下2点を確認してください。

  • ファイルが改ざんされていないか
  • 不正(身に覚えのない)ファイルが設置されていないか

サイト上に設置したお問い合わせ用などのメールフォームにおいて、悪意を持った人物がお問い合わせ内容にスパム(フィッシングサイトのURLや宣伝広告など)、連絡先欄に無関係な第三者のメールアドレスを入力して送信することで、自動返信機能により無関係な第三者へスパムメールを送信するという攻撃です。

メールフォームの悪用の流れ

このようなスパムメールが送信されるとメールの受信者に被害が及ぶだけでなく、サーバーが持つIPアドレスのレピュテーション(評判)が下がり、ブラックリストに登録される恐れがあります。ブラックリストに登録されると正常なメールでさえも送信できなくなるなどの問題が発生します。

こういったメールフォームを悪用した不正アクセスには以下のような対策が有効です。

reCAPTCHAとはGoogleが無料で提供しているセキュリティ対策ツールです。
これにより人間からのアクセスかロボットからのアクセスかを判別し、ロボットからのアクセスの場合は何らかのアクションを要求するようになります。メールフォームの悪用を含め不正アクセスの大半はロボットによるもののため、reCAPTCHAの導入は対策として非常に効果的です。

プラグイン「Contact Form 7」を利用してメールフォームを設置している場合
  1. 「Google reCAPTCHA」にアクセスしてください。(Googleアカウントが必要です)
    https://www.google.com/recaptcha/intro/v3.html

  2. 「Admin Console」をクリックしてください。

    「Admin Console」をクリック

  3. 必要事項を入力し、送信をクリックしてください。

    必要事項を入力

    ラベル サイトを容易に識別できるラベル(ブログのタイトルやURLなど)を入力します。
    reCAPTCHA タイプ 「スコアベース(v3)スコアに基づいてリクエストを検証します」を選択します。
    ドメイン reCAPTCHAを導入したいサイトのドメインを入力します。
    Google Cloud利用規約の同意 内容を確認のうえ問題なければチェックを入れます。
  4. 送信完了画面に記載されている、サイトキーおよびシークレットキーをコピーして控えておいてください。

    送信完了画面

  5. WordPress管理画面を開き、左メニュー「お問い合わせ」-「インテグレーション」をクリックしてください。
    「外部 API とのインテグレーション」の画面にてreCAPTCHAの「インテグレーションのセットアップ」をクリックしてください。

    reCAPTCHA設定画面

  6. 手順4にて控えておいたサイトキーおよびシークレットキーを入力し、「変更を保存」をクリックしてください。

    reCAPTCHA設定画面

  7. 以上でreCAPTCHAの導入設定は完了です。サイトにアクセスし、以下のようなアイコンが画面右下に表示されていることを確認してください。

    reCAPTCHAアイコン

自動返信機能を無効化することにより、無関係な第三者にスパムメールが送信されることを防ぐことができます。
ただし、メールフォームに送信された通常のお問い合わせなどに関しても受付完了メールが届かなくなるため、問い合わせユーザーへ不安を抱かせる可能性があります。

プラグイン「Contact Form 7」を利用してメールフォームを設置している場合
  1. WordPress管理画面を開き、左メニュー「お問い合わせ」-「コンタクトフォーム」をクリックしてください。
    コンタクトフォームの一覧より「編集」をクリックしてください。

    WordPress管理画面

  2. 「メール」タブ内にある「メール (2) を使用」のチェックを外し、「保存」をクリックしてください。

    WordPress管理画面

当社CGIツールを利用してメールフォームを設置している場合
  1. サーバーパネルにログインし、「メールフォーム(CGIツール)」をクリックしてください。

    「メールフォーム(CGIツール)」をクリック

  2. 設定を変更したいメールフォームの「管理」ボタンをクリックしてください。

    メールフォーム(CGIツール)画面

  3. 上部メニューより「自動返信メールの設定」をクリックしてください。

    メールフォーム設定画面

  4. 「自動返信メールの使用しない」を選択し、「設定を保存する(確認)」をクリックしてください。

    メールフォーム設定変更画面

  5. 「設定を保存する(確定)」をクリックしてください。

    メールフォーム設定完了

前述の対策にあわせて以下の対応を実施していただくことで不正アクセスの防止に繋がります。

古いバージョンのプログラムを使用し続けることで不正アクセスの対象として狙われるリスクが高くなります。
以下の方法にて最新版へのアップデートをしてください。

WordPressの場合

WordPress管理画面を開き、左メニュー「ダッシュボード」-「更新」をクリックしてください。
新しいバージョンがある場合、以下のようなメッセージが表示されているので「バージョン *.*.*-ja に更新」をクリックします。

WordPressの更新画面

プラグインの場合

WordPress管理画面を開き、左メニュー「プラグイン」-「インストール済みプラグイン」をクリックしてください。
新しいバージョンが利用できるプラグインでは以下のようなメッセージが表示されているので「更新」の箇所をクリックします。

WordPressのプラグイン画面

テーマの場合

WordPress管理画面を開き、左メニュー「外観」-「テーマ」をクリックしてください。
新しいバージョンが利用できるテーマでは以下のようなメッセージが表示されているので「今すぐ更新」の箇所をクリックします。

WordPressのテーマ画面

ご利用中のプラグインやテーマファイルの配布元、または以下サイトにて脆弱性情報が公開されていないか確認してください。

※脆弱性とは、OSやソフトウェアにおいてプログラムの不具合や設計上のミスが原因となって発生するセキュリティ上の欠陥のことをいいます。
脆弱性のある状態でシステムを利用し続けていると、不正アクセスされたり、ウイルスに感染したりする危険性があります。

JVN iPedia 脆弱性対策情報データベース
 国内外で発見された脆弱性情報を確認することができます。

JPCERT Coordination Center
 国内で発見された脆弱性情報を確認することができます。

ファイル管理(ファイルマネージャ)にて以下2点を確認してください。

  • ファイルが改ざんされていないか
  • 不正(身に覚えのない)ファイルが設置されていないか