つみかさね

一球一球のつみかさね 一打一打のつみかさね 一歩一歩のつみかさね 一坐一坐のつみかさね 一作一作のつみかさね 一念一念のつみかさね

Webサイトのフォームで悪用被害急増中!

Webサイトのフォームで悪用被害急増中!

11/24,25日頃ロリポップよりメール送信上限に達したので送信制限をかけたと連絡がありました。一応サイト側にいろいろと対策をしました。その後は問題無く使えています。

今日、さくらのサーバーよりこんな悪評被害が増えているという連絡がきました。先日と同じですね。悪用される仕掛けが判りやすく説明されています。「お問い合わせフォーム」の通常機能を悪用されたケースになりますね。


Webサイトのフォームで悪用被害急増中!加害者にならないためのフォーム設置講座

www.sakura.ne.jp

WordPressプラグインContact Form 7「お問い合わせフォーム」を設置している人はWordPressを使っている人の9割位だとか、そのContact Form 7の自動返信機能を使って、一時に数千通、数万通のスパムメールを送る。そんな悪質な事例で、設定した「お問い合わせフォーム」を使われていませんか?

「お問い合わせフォーム」にメルアド、名前、本文等を入力して送信を押すと、そのメルアドに、自動的に「問合せ有り難うございます」等を発信するようにしている使い方をしている場合。この自動返信機能を使った悪用被害です。

例として
1.お問い合わせした人のメールアドレス欄に、スパムメールを送りたいメールアドレスを入力
2.お問い合わせ内容にフィッシングサイトや広告のリンクを入力
3.送信ボタンをクリック
4.お問い合わせありがとうございました!の確認メールが1で入力したアドレスに送信される。問い合わせ内容も含んだ自動返信が送られるので、結果的に広告メールを他人のサーバーから送信できる

これをプログラムで何千、何万件と自動実行します。何が起きるかと言うと、全く関係ないフォームが置いてあるだけのサイトのサーバーから、任意のメールアドレスに大量のメールを送信することができるようになるのです。

対策として
自動返信機能を使わない。(off)WordPressプラグインContact Form 7ではこの自動返信機能は初期設定でOFFになっていますので、OFFのまま使うのが良いでしょう。

どうしても自動返信機能を使いたい場合は、「reCAPTCHA(リキャプチャ)を使う」ことが対策となります。「reCAPTCHA(リキャプチャ)を使う」が判らない人はoffで使うこと。ちなみに「reCAPTCHA」送信前に分割された写真が出てきて「消火栓」はとか問いかけてくる仕組み。正解であれば送信が許可される。(プログラムで破ることが難しい)