【これだけ読めば完璧】メールフォームのセキュリティリスクと対策まとめ

問い合わせやアンケートなど、多くの目的で使用されるメールフォーム。

メールフォームを作成したり、Webサイトに設置する際には「セキュリティ」を意識する必要があります。メールフォームのセキュリティ対策が不十分であれば、情報漏洩や改ざんなどの様々なリスクが発生します。

本記事では、メールフォームのセキュリティ対策についての情報をご紹介します。
主なリスクや対策のポイントについてまとめているので、ぜひ参考にしてみてください。

メールフォームとは

メールフォームとは、回答者がWebサイトに直接テキストを入力してメールを送信できる機能（仕組み、パーツ）のことです。

Webサイトにメールフォームを設置することで、メールソフトを起動したり、メールサービスにログインしなくてもメールを送信できるようになります。メールフォームはアンケート調査や問い合わせ、資料請求など様々な目的で利用することができ、ツールによって持っている機能やデザインが大きく異なります。

メールフォームの機能、メリット・デメリット、無料で使えるおすすめのツールについては下記の記事で詳しく解説してます。

>無料のメールフォーム作成ツール8選！フォームの作り方や必要な機能も紹介

メールフォームのセキュリティリスク

メールフォームのセキュリティ対策を適切に行わない場合、どのようなリスクがあるのでしょうか。こちらでは、3つのリスクを解説します。

1. データベースへの不正アクセス

まず1つ目に挙げられるのが、データベースに不正アクセスされる恐れがあるという点です。

フォームからの回答を集めたデータベースに第三者にアクセスされることで、情報を盗み見されてしまうリスクがあります。フォームの回答には回答者の名前や電話番号、メールアドレスなど顧客情報を記入することが多いため、データベースへの不正アクセスは顧客情報の漏洩につながります。

2. 情報の漏洩・改ざん

データベースへの不正アクセスとも重なりますが、サイバー攻撃を受けることで、情報の漏洩やデータを改ざんされるリスクがあります。

一度情報の漏洩・データの改ざんが起これば、復旧に時間がかかり業務がストップしてしまうだけでなく、企業の信用度の低下につながることもあるでしょう。

また、データの復旧にかかる費用や損害賠償にかかる費用、顧客対応にかかる費用など、多額の損害が発生する可能性も忘れてはいけません。

3. データの消失

最後に挙げるのが、データ消失のリスクです。人的ミスやサーバー側のトラブルなど、様々な原因でデータの消失は発生します。

最も有効な対策は定期的なバックアップをしておくことでしょう。また、クラウド型のフォーム作成ツールを使用している場合、データは自社システム内ではなく、サービス提供者のデータセンターに保管されることになります。そのため、使用しているデータセンターの把握や、データセンターで定期的なバックアップが行われているか確認することが重要です。

メールフォームのセキュリティ対策の5ポイント

それでは、上記のようなセキュリティリスクを防ぐために、どのような対策を行うべきなのでしょうか。そのポイントを5つに分けて解説します。

1. 通信データの暗号化（SSL化）

フォームから送信された回答データは、サーバーに保存されるまでの通信経路上でデータが盗聴されたり、改ざんされたりするリスクがあるため、通信データを暗号化する必要があります。通信データの暗号化により、データを第三者に盗み見される危険性が減り、安全にデータベースサーバーに格納できるようになります。

通信の暗号化には、SSL（Secure Sockets Layer）と呼ばれる技術が利用されます。ユーザーが安心してフォームを利用するために、フォームのSSL化は不可欠と言えるでしょう。

また、フォームだけでなく、Webサイト全体をSSL化することを「常時SSL化」と呼びます。フォームをWebサイトに埋め込んで運用する場合には、常時SSL化に対応することをおすすめします。

2. アプリケーション/OSのセキュリティ強化

アプリケーションやOSのセキュリティ上の不備を狙った攻撃により、情報の漏洩や改ざんが起こるリスクがあります。

代表的な攻撃手法には、以下のようなものがあります。

SQLインジェクション：
「SQL」とは、データベースを操作するための言語のことで、SQLを使うことでデータの編集・操作を行うことができます。
SQLインジェクションとは、フォームに不正なSQLを注入する（インジェクションする）ことを指します。これにより、データを不正に操作できるSQLを実行し、データを盗み見したり改ざんできてしまいます。

クロスサイトスクリプティング（XSS）：
クロスサイトスクリプティングとは、他者が管理するWebサイトに悪意のあるスクリプトを埋め込み、不正なスクリプトを実行する攻撃のことです。
例えば、フォームに不正なスクリプトを入力され、訪問者のcookie情報や個人情報が盗まれるといった被害例があります。

クロスサイトリクエストフォージェリ（CSRF）：
オンラインサービスの利用者がログインしたまま不正なURLをクリックした場合に、本人が意図していないリクエストが送信されてしまうことです。
不正なサイトからフォームにデータを送信させ、悪意のあるWebサイトを訪れたユーザーが意図しない個人情報を発信させられてしまいます。

上記のような攻撃を受けてしまうのは、プログラムのコーディングの不備や、システム設計時の不備に原因があります。

そのため、対策としては、

• 脆弱性診断
• 外部からのコードレビュー
• 改ざん検知
• WAF（Webアプリケーションファイアウォール）
• IDS/IPS（侵入検知/侵入防止）

などが効果的です。

3. スパムメール対策

フォームからスパムメールが大量に送信されるリスクがあるため、スパム対策も必要です。

スパムメールの送信者は、フォームにある名前やメールアドレスといった項目に、適当な英数字の羅列を設定し、フォームに自動入力して送信を行う「bot（ボット）」を用いて大量にメールを送ります。

スパムメールには、メールフォルダの圧迫やサーバーへの悪影響、メール削除の煩わしさといった問題がある上、ウイルス感染により情報漏洩が起こる可能性もあります。

スパムメールの対策には、以下のことを行うと効果的でしょう。

• アクセス元のドメイン・IPへの制限
• テキストや画像によるキャプチャ認証
• フォームに確認画面や必須項目を設置

また、これらの方法を組み合わせることでより効果が高まります。

4. 保管データの暗号化・バックアップ

フォームの回答データが保管される場所のセキュリティレベルも重要です。

クラウド型のフォームサービスを利用する場合は、回答データが保管されるデータセンターの設置場所を確認したり、データの消失を防ぐため定期的なバックアップが行われているかを確認しましょう。

5. アクセス制御

クラウド型のフォーム作成サービスを利用している場合は、管理画面への不正アクセスにより、データの盗聴や改ざんのリスクが生じます。

このようなリスクを防ぐため、管理画面にアクセス可能なユーザーの権限を適切に設定しておくことが大切です。データの編集をできるユーザーと閲覧のみできるユーザー、アクセスできないユーザーをきちんと分けて管理しておく必要があるでしょう。

さらに、ログインユーザーのIPアドレス制限を行ってアクセスできるユーザーを限定したり、ワンタイムパスワードなどの二要素認証を設定して不正アクセスを防ぐことも有効です。

メールフォームのセキュリティ対策のポイントまとめ

ここまでにご紹介したセキュリティ対策のポイントをまとめました。

主なフォーム作成ツールのセキュリティ対策

こちらでは、フォーム作成ツールの中でも有名なGoogleフォームと、プラグインを使ってフォームを作成できるWordPressのセキュリティ対策についてまとめました。

Googleフォーム

Googleフォームは、Googleが提供している無料のフォーム作成ツールです。アンケートや問い合わせ、キャンペーンへの申し込みなど、様々な用途で利用されています。

Googleフォームのセキュリティ対策としては、以下のようなことが行われています。

• データ転送時や保存されるデータの暗号化
• 脆弱性の管理や不正なソフトウェアの検出
• Google reCAPTCHAによるスパムの防止
• ログイン時の二段階認証設定が可能
• データセンターを世界中に分散して保有

また、GoogleはISO27001やISO27017などの、セキュリティに関する国際規格を取得しています。これらは全世界で統一されたセキュリティの基準であり、Googleが国際的に設定された基準をクリアしていると保証されていることを示します。

このように、Googleフォームでは強固なセキュリティ対策が行われていることが分かります。

WordPressのプラグイン

続いて、WordPressのプラグインを使用して作成できるメールフォームのセキュリティ対策を見てみましょう。フォームを作成できる代表的なプラグインには「Contact Form 7」や「MW WP Form」があります。

Contact Form 7では、reCAPTCHAの設置によりスパムを防止したり、脆弱性を修正するためのアップデートが継続的に行われるなどのセキュリティ対策があります。

また、MW WP Formでも同様にスパムの防止や脆弱性の修正といった対策が行われています。

WordPressのフォーム作成プラグインには多くの種類がありますが、導入の際には脆弱性について報告されているか、定期的なアップデートが行われているかといった点を確認することが大切です。

また、WordPress自体への不正アクセスを防いだり、サイト全体を暗号化するプラグインもあるので、こちらも検討するようにしましょう。

セキュリティを考慮したフォームを使うならformrunもおすすめ

formrunは、弊社の提供するフォーム作成ツールです。

• SSL/TSLによる通信の暗号化
• 高度なセキュリティ要件を満たしたデータセンター「AWS」を採用
• Pマーク、ISO27001の取得
• 24時間365日のサーバー監視体制

といったセキュリティ対策が行われており、セキュリティを重視することに加え、下記のような要件がある場合は「formrun」を使うこともおすすめです。

• 短時間で簡単にフォームを作成したい
• デザイン性の高いフォームを作成したい
• フォームの回答を効率的に管理したい

無料から始めることができるので、ぜひ一度試してみてください。

まとめ

メールフォームのセキュリティ対策が不十分だと、情報の漏洩・改ざんのリスクが高くなり、企業の信用度の低下や損害の発生につながることになります。そのため、どのような攻撃方法があるのかを知り、それらの対策を行っておくことが必要です。

もしHTMLやCSSで作成したフォームのセキュリティ対策が難しい場合は、十分に対策が行われたフォーム作成サービスを利用することも方法の1つでしょう。フォーム作成ツールにはさまざまな種類があるので、比較しながらぴったりのツールを見つけてみてください。

formLab編集部

formrunやフォーム作成や顧客管理に関する情報を発信しております。

EFO（エントリーフォーム最適化）や問い合わせ対応など、
フォームに関するお悩みを解決します。