問い合わせフォームのセキュリティリスクとは？プロが選ぶ重要な対策5選

問い合わせフォームは、サービスに関する問い合わせや申し込み、セミナーへの応募やアンケートにいたるまで幅広く活用されています。個人情報を入力する箇所なので、セキュリティ対策が極めて重要になりますが、しっかり対策できていますか？

本記事では、問い合わせフォームに潜むセキュリティリスクについて紹介します。
この記事を読んで、問い合わせフォームを安全に使用できるようになりましょう。

セキュリティが万全なツールなら、formrunがおすすめです。

「ISO 27001 (ISMS)」の認証取得やプライバシーマークの付与認定、SSL/ TLSによる暗号化通信、24時間365日のサーバー監視体制などさまざまな対策がとられています。

フォームは、名前や住所、メールアドレスなど重要な個人情報を取り扱います。ユーザーに安心してフォームを利用してもらうためにも、フォームのセキュリティはとても重要です。

安全なフォーム運用や個人情報の取り扱いは、顧客からの信用に大きく影響するため、セキュリティを重視している方にはformrunの利用がおすすめです。

▼formrunのセキュリティの詳細はこちらをご確認ください

メールフォームのセキュリティ対策を行わない場合、どのようなセキュリティリスクが発生するのでしょうか？

考えられるリスクを以下3点ご紹介します。

• 不正アクセス
• データ改ざん
• データ消失

第三者にセキュリティベースへ不正アクセスを許してしまうと、問い合わせフォームに記入した個人情報が漏れてしまいます。

千葉県船橋市ではホームページに問い合わせした際の自動メール送信機能を悪用され、不正サイトのURLを添付した迷惑メールが送られる事例が2020年に発生しました。

問い合わせフォームを悪用されてしまうと、送られた人のみならず、サーバのIPアドレスもブラックリストに登録されます。画像認証プロセスの導入、自動メールを送らない等の対策が必要になるでしょう。

参照：市ホームページのお問い合わせフォームを利用した不正メールに伴う市送付のメール障害について—-船橋市

サイバー攻撃により保管されたデータが改ざんされるリスクが存在します。
データの改ざんが起きてしまうと、ユーザーだけでなく、企業側へ多大な損害を与える可能性があります。

例えば、以下のような損害です。

• 業務が停止する可能性
• 企業の信用度が低下
• 損害賠償請求
  

悪質なサイトへ誘導するスクリプトを実施し、企業のホームページの表示を替えられてしまうクロスサイトスクリフィングの事例が2022年に一番多く相談されています。

スクリプトを文字列に変換するなど対策を打つのが重要です。

参照：ソフトウェア等の脆弱性関連情報に関する届出状況［2022年第4四半期（10月～12月）］独立行政法人情報処理推進機構　セキュリティセンター

第三者による不正アクセスで最悪の場合、データの消失が考えられます。
データ管理を代行させている場合も定期的に管理を確認するようにしましょう。

昨年、川崎市が利用していた問い合わせフォームの運営会社の人的ミスにより個人情報が3,000件削除されてしまいました。

うち160件はバックアップもなく復旧まで多大なコスト、迷惑がかかってしまいました。
日頃から社内でも、外付けHDDやクラウドへバックアップが重要です。

参照：電子申請における添付ファイルの消失について 　川崎市

ここからは、問い合わせフォームのセキュリティリスクをどのように対策すべきか紹介します。

自社の状況にあわせて、最適な対策を実施してみましょう。

1. SSL（暗号化）
2. アクセス制限
3. 問い合わせフォームに必須項目追加
4. 問い合わせフォームを新規作成
5. プラグインの導入

SSLとはネット上の必要情報を暗号化して、第3者から個人情報閲覧を防止する仕組みです。
問い合わせフォーム一部のみならず、Webページ全体を保護する「常時SSL化」実施も存在します。

対策を実施すると、以下のような変化が起きます。

• Webページのアドレスが「http」から「https」へ変更される
• Webページリンクに「このページは保護されています。」と表示。

このような状態になっていることで、ユーザー側から問い合わせ先の企業への信頼感が増します。

ページ内の設定でIPアドレスの制限が可能です。
スパムメールを送信してくる特定のアドレス、ドメインなどからデータの送信自体を拒否できます。

海外からの不正アクセスが多い場合、日本国内のアドレスのみなど選択可能です。

ただし、アクセス制限は記述ミスすると障害発生する可能性があるので、エンジニアへ相談を推奨します。

問い合わせフォームに記載すべき必須項目や確認項目を設置するだけでスパムBOTの作動を防止できます。
また情報送信前に確認画面を作ることで、送信までのハードルを上げ、スパムの可能性が抑えられます。

すでに問い合わせフォームがセキュリティリスクに侵されているかもしれない方は、問い合わせフォームの新規作成を推奨します。

ツールによって、金額や特徴が異なるため使用するフォームの用途や希望に併せて、問い合わせフォームを検討してみましょう。

WordPressにおいても「Contact Form 7」や「MW WP Form」など問い合わせフォーム作成のプラグインが存在しています。

しかし、WordPressのプラグイン情報漏洩に繋がるSQLインジェクションの脆弱性が度々話題になっています。
使用に際して、スパム対策のプラグインを導入するだけでなく定期的にアップロード行うようにしましょう。
参照：ソフトウェア等の脆弱性関連情報に関する届出状況[2015年第1四半期（1月～3月）]

問い合わせフォームのセキュリティ対策にSSLは必須なのかメリット、デメリットの観点から見ていきましょう。

SSLを導入するメリットとして以下の3点がポイントです。

1. 安全性
2. ユーザー目線で安心
3. SEOに有利

暗号化でデータの盗み見されることなく、安心して利用でき信頼性が高まります。

さらにSSL化されていないサイトを閲覧すると下記のように警告メッセージへと移動されます。
このようなメッセージが出てくると、ユーザー側からすると信頼性に欠けてしまいますよね。

SSLのデメリットとして以下3点が挙げられます。

1. SSLへ費用が発生
2. SSL化していない場合と比べると通信速度が下がる可能性
3. SNSの評価が最初からになってしまう

SSL化を実施に際して、年間数万円発生します。
サイト規模に応じて金額が変動しますので一度問い合わせをしてみましょう。

常時SSL化を行う際、WebサイトのURLを以降するためリダイレクト作業が必要になります。

セキュリティ観点でいうとSSL化は必須といえます。

変更時に多少の費用と手間が発生するものの、セキュリティのためにも、設定するようにしましょう。

問い合わせフォームの扱う時の注意点を紹介します。主な注意点は以下の2点です。

• ファイル添付欄を付けない
• プラグインを入れすぎない

問い合わせフォームに添付ファイル欄を付ける際は気をつけましょう。
第三者から添付ファイルにマルウェアなどサイバー攻撃を受けるリスクが高くなります。

さらに文字だけのデータと比較して、容量が大きくなってしまいます。
サーバーの容量が大きすぎると、送受信や閲覧に支障がでてしまう点もデメリットです。

プラグインを導入すると、セキュリティが強固になります。

ただし、プラグインを入れると、それだけサーバに負荷がかかってしまいます。
入れすぎてしまうと、各プラグインの健全性を保ちづらく、相性も複雑になってしまうので注意しましょう。

セキュリティ対策に強い問い合わせフォームにしたい方はformrunがおすすめです。

formrunはセキュリティ対策を3つの点から運用しています。

出典：formrun

無料での利用もできるので、まずはお試しでフォームを作ってみて、使い勝手を試してみるのがおすすめです。
ディップ株式会社、島村楽器、文化放送、DMMなど業種を問わず、多くの規模の企業に導入されており最適なフォーム制作が可能です。

問い合わせフォームのセキュリティ対策を万全に行わないと情報漏洩やデータ消去など損害賠償や企業の信頼を下げかねません。
セキュリティ対策が整った問い合わせフォームを利用すると、専門的な知識が不要となり本来の業務に集中できるでしょう。

この記事をきっかけにあなたが、最適なツールを見つけるきっかけになれば幸いです。