ニュース 2021.01.09 問い合わせフォーム「自動返信機能はオフにする」ことを推奨

フォームで問い合わせをすると、自動で送られてくる「お問い合わせありがとうございました」という返信メールに、フィッシングサイトのURLや偽広告などが記載されて届くという悪質な手口だ。

さくらのレンタルサーバでもこの手口を使ったメールの大量送信被害が増えており、最も効果的な対策として、問い合わせフォームの「自動返信機能をオフにする」ことを勧めている。

また、どうしてもオフにできない場合は、Webサイトの認証画面で「私はロボットではありません」にチェックを入れるなど一手間いれることで、Botと人間を見分けるツール「reCAPTCHA v3」を採用することが有効な対策となるだろうと伝えた。

攻撃の対象は、さくらインターネットが提供しているサービスに限らない。フォームが設定されていれば、どんなサイトでも対象になる。

この問題の特徴は、サーバーやOSの脆弱性を狙ったものではないため、ツールを最新版に更新するなどの一般的な不正アクセスへの対応では解決にならないことだ。

ツールを最新版にしておくことは基本的に重要だ。そのうえで、同時に、本当に必要なプラグインだけを残し、プラグインをスリム化することで、悪用される機会そのものを減らすことも有効な手段になるだろう。

【関連リンク】

・お問合せフォームを悪用する攻撃増加に関する注意喚起（さくらインターネット）
https://www.sakura.ad.jp/information/announcements/2020/12/08/1968205707/

・さくらのホームページ教室（さくらインターネット）
https://www.sakura.ne.jp/column/rs/website-form-security/?_ga=2.179421540.1369750792.1607479018-837870320.1607479018

TEXT：セキュリティ通信 編集部
PHOTO：iStock