お問い合わせフォームのスパム対策で行うべきことは?

Digital cybersecurity and network protection. Virtual locking mechanism to access shared resources. Interactive virtual control screen. Protect personal data and privacy from cyberattack and hacker
セキュリティ

会社のホームページや個人ブログなどに問い合わせフォームを設置する際、意識したいのが「スパムメール」への対策です。
迷惑メールの一種であるスパムメールはさまざまな危険性をはらんでおり、サイト運営者はあらかじめ対策を練っておく必要があります。

そこで本記事では、問い合わせフォームのスパム対策に関する情報をご紹介します。
スパムメールの仕組みや危険性、対策方法、おすすめツールなどをまとめているので、スパムメールにお悩みの方はぜひ参考にしてみてください。

スパムメールが来る仕組み

まずは、スパムメールが届く仕組みについて簡単にご説明します。

フォームから問い合わせがあった場合、自社や個人で設定したフォルダにメールが届くよう設定している方も多いでしょう。
スパムメールの送信者は、その問い合わせフォームを利用してメールを大量に送信します。

たとえば問い合わせフォームに名前やメールアドレス、問い合わせ内容の項目があるとすると、適当な英数字の羅列を設定し、フォームに自動入力して送信を行う「bot(ボット)」を用いてメールを送ります。

こういったスパムメールも通常のお問い合わせと同じフォルダに届くため、受信側は逐一チェックする手間が生じます。
また、実際に存在するメールアドレスや電話番号を用いてスパムメールを送っているケースもあり、スパムメールはさまざまな被害をもたらしています。

スパムメールの危険性

スパムメールには、メールフォルダの圧迫やサーバーへの悪影響、メール削除の煩わしさといった問題がありますが、より意識しておきたいポイントもあります。
スパムメールの具体的な危険性について確認し、トラブルが発生しない状態を目指しましょう。

1. ウイルスに感染する恐れがある

まず1つ目に挙げられるのが、ウイルスに感染する恐れがある点です。

問い合わせフォームの「問い合わせ内容」部分にURLが記載されていたり、ファイルが添付されていたりなど、スパムメールにはさまざまなタイプがあります。
このURL遷移先や添付ファイルにはパソコンに悪影響のあるウイルスが潜んでいる可能性もあるため、絶対にクリックやダウンロードをしてはいけません。

また、クリックなどの操作をすることでメールアドレスが今も使われていると判断され、さらにスパムメールが届く場合もあります。

2. 機密情報が盗まれる

ウイルス感染と重なる部分でもありますが、スパムメールが情報漏洩のきっかけになりうることも忘れてはいけません。

スパムメールで届いた添付ファイルやURLに仕込まれたウイルスは、メールを開いたパソコンや関連ネットワーク(家庭・社内など)から情報を盗み出す可能性があります。
その中には社外秘のものや個人情報が大いに含まれているものなど、損害賠償などの問題に発展しうるものも多いでしょう。

メールが届いたからといって無作為に開封するのではなく、スパムの危険性も認識したうえで適切な対処を取ることが大切。
スパムメールが届いた際は、次の項目で解説する対策方法を早めに取り入れるようにしましょう。

一般的にスパムメールを対策する方法

こちらでは、一般的なスパムメールの対策方法として下記の3つをご紹介します。

  1. アクセス元のドメイン・IPに制限をかける
  2. Google reCAPTCHAを設置する
  3. お問い合わせフォームに確認画面や必須項目を設置する

複数の方法を組み合わせることでスパム対策をより強化できるので、ぜひ参考にしてみてください。

1. アクセス元のドメイン・IPに制限をかける

アクセス元のドメイン・IPに制限をかける

まず1つ目にアクセス元のドメインやIPアドレスに制限をかける方法があります。

同じドメインやアドレスから何通も届く場合の対策となりますが、ブロックしたりドメイン拒否を設定したりすることで同一送信者からのスパムメールを防げるでしょう。

また、送信者のIPアドレスを取得できるツールや方法もあります。
そちらを利用すればIPアドレスをもとにアクセス制限をかけられるため、IPアドレスの取得ができる問い合わせフォームを選択するのもおすすめです。

2. Google reCAPTCHAを設置する

Google reCAPTCHAを設置する

次に、Google reCAPTCHAを設置する方法が挙げられます。
Google reCAPTCHAとはGoogleが提供しているセキュリティ対策ツールですが、チェックボックスをクリックさせることでbotによる機械的な送信を防ぎます。

reCAPTCHAには、指定された画像を選択する「v2」やユーザーの挙動をもとにbot判定する「v3」など数種類のパターンがあります。

ただしGoogle reCAPTCHAでスパムメールが100%なくなるわけではないため、並行して別の対策も検討するようにしましょう。

3. お問い合わせフォームに必須項目や確認画面を設置する

お問い合わせフォームに必須項目や確認画面を設置する

3つ目は、問い合わせフォームに必須項目や確認画面を設置する方法です。
上記は弊社提供のツール「formrun」の編集画面ですが、必須項目を設けることでbotが簡単に自動送信できない状態を整えます。

また、確認画面の設置もbotによる送信までの手間を増やす目的があります。

ただしGoogle reCAPTCHAと同様、こちらも完璧にスパムメールを防げるわけではありません。
スパムメールが届くようになったらドメイン拒否をするなど、届かないための対策・届いたあとの対策を入念に行うようにしてください。

WordPressのプラグインでフォームを作成している場合

CMS(コンテンツマネジメントシステム)の一種として有名なWordPressには、プラグイン(拡張機能)が豊富に用意されています。
なかにはスパム対策に強みをもつプラグインもあるので、WordPressを用いてホームページを作成している方はぜひ参考にしてみてください。

1. Throws SPAM Away

Throws SPAM Away

https://wordpress.org/plugins/throws-spam-away/

「Throws SPAM Away」は、海外からのスパムコメントに対応した日本製のプラグインです。
日本語が含まれていないコメントや、NGキーワードに設定した文言込みのコメントは自動で除外してくれるため、コメントをチェックする手間が不要となります。

また、コメント内のURL数やIPアドレスに基づいた判定も行われるため、日本人向けのサイトを運営している方はぜひ導入してみるとよいでしょう。

2. Akismet

Akismet

https://wordpress.org/plugins/akismet/

WordPressのスパム対策プラグインとして有名なのが「Akismet」です。
投稿されたコメントを判別し、スパム認定されたものを自動的に除外するように設定できます。
大量に届くコメントの中からスパムかどうかチェックしていくのは手間がかかるため、時間を節約するためにもAkismetの導入がおすすめです。

また、Akismetには無料プランと有料プランがありますが、個人サイトであれば無料プランでも利用できます。
ただし商用目的のサイトであれば月額1,080円~と料金が定められているためご注意ください。

3. Spam Destroyer

Spam Destroyer

https://wordpress.org/plugins/spam-destroyer/

「Spam Destroyer」も、Akismetと同じく自動でコメントを判別して削除してくれるプラグインです。
Akismetよりも手軽に導入でき、利用も無料でできるため、とりあえずスパム対策をしておきたいという方にはぴったりでしょう。

ただし、スパム用のコメントフォルダが作成されるわけでないため、あとからスパムコメントをチェックしたい方には不向きです。
その場合はAkismetでの登録を進めることをおすすめします。

4. Ninja Forms

Ninja Forms

https://wordpress.org/plugins/ninja-forms/

「Ninja Forms」は、フォーム作成ができるプラグインです。
プログラミングの知識がない方でも簡単にフォームが作れるため、多くのサイト・ブログに導入されています。

Ninja Formsには「Honeypot」と呼ばれる機能が搭載されており、botによるスパムメールを防ぐことができます。
また、Honeypotでうまく除外できないケースにはスパム対策用の設問も用意されているので、そちらを活用するのもよいでしょう。

スパム対策機能のついたフォーム作成ツールを使う

ちゃんと対策できるか不安で…という方は、スパム対策ができるフォーム作成ツールを使う方法です。
フォーム作成ツールであれば簡単にフォームを作れるうえ、スパム対策にもつながります。

こちらではGoogleフォーム・formrun・Tayoriについて紹介しますので、ぜひチェックしてみてください。

1. Googleフォーム

Googleフォーム

https://www.google.com/intl/ja_jp/forms/about/

無料でフォームを作れるツールとして知られる「Googleフォーム」。
問い合わせフォームだけでなく、アンケートやテストなど、さまざまな目的で活用されています。

Googleフォームの場合、フォーム作成画面の右上にある【設定マーク】を選択し、

  • メールアドレスを収集する
  • 回答のコピーを送信

のチェックボックスにチェックを入れると、フォーム下部にreCAPTCHAのマークが表示されます。
また、メールアドレスを収集しない場合は、記述形式の設問を用いて指定した単語を入力させる方法もあります。

他のツールに比べると仕組みがやや複雑で、デザインもシンプルではありますが、「フォームにコストをかけたくない」「問い合わせの内容をグラフでまとめたい」という方はGoogleフォームを利用するのもよいでしょう。

2. formrun(フォームラン)

formrun

https://form.run/ja

formrunは、弊社が提供しているフォーム作成ツールです。
フォームの作成から問い合わせの管理まで一元化でき、業務効率化をサポートします。

メールだけでなくSlackやチャットワークなどチャットツールへの通知ができる点も魅力ですが、スパム対策をしておかないと頻繁に通知が届く可能性もあります。

  • reCAPTCHAの設置(フォーム編集画面・コード型フォーム)
  • Honeypot保護機能の設定(コード型フォームのみ)

formrunには上記のスパム対策機能があるため、できるだけ設定しておくようにしましょう。

>>formrunのスパム対策について詳しく見る

3. Tayori(タヨリ)

Tayori(タヨリ)

https://tayori.com/

Tayoriは、株式会社PR TIMESの提供しているカスタマーサポートツールです。
アンケート・FAQページの作成やチャットでの接客など豊富な機能が搭載されており、顧客満足度の向上や顧客対応の円滑化に役立てられています。

Tayoriを使えば企業のメールアドレスを業者が集めづらくなるため、スパムメールが届きにくくなります。
また、メールフォームに入力されたデータは暗号化されるため、顧客に信頼感を与えることもできるでしょう。

こちらもチェック!フォームを利用しない場合のスパム対策

ホームページの会社概要などにメールアドレスを掲載している企業も多いですが、公開アドレスを利用してスパムメールを送ってくる業者もいます。
最後にフォームを利用しない場合のスパム対策もチェックして、セキュリティ強化に努めましょう。

1. メールアドレスを画像化する

スパムbotがメールアドレスを取得する場合、ホームページの公開画面ではなくホームページを構成するHTMLのデータを読み込んでいます。
そのため、メールアドレスを画像にして掲載すれば、botによる読み込みを防ぐことができます。

ただし、メールアドレスをコピー&ペーストできなくなるため、問い合わせをしたいユーザーにとっての利便性は下がります。
アドレスを手入力することで打ち間違いも発生しやすくなるため、一見わかりにくいアドレス(「0」「o」など)を使用している場合は注釈を入れるといった対策も含めて検討しましょう。

2. Java Scriptを用いて暗号化する

プログラミング言語の一種である「Java Script」を使えば、メールアドレスを暗号化することもできます。
たとえば「m」を「109」、「a」を「97」のように変換できるため、スパムbotがHTMLをチェックしてもメールアドレスを見つけられません。

プログラミング言語の知識はやや必要ですが、メールアドレスをJava Scriptで暗号化できるツールもいくつか公開されているので、調べてみるのもよいでしょう。

3. メールアドレス内の文字を別の記号とする

メールアドレス掲載時のスパム対策として取り入れやすいのが、アドレス内の文字を別の記号にする方法です。
たとえば「mail@mail.com」の「@」部分を「★」「◎」などの記号に変えることで、スパムbotに正しい情報を伝えづらくします。

ユーザーに対しては「★を@に変えてお送りください」などの一言を沿えるだけでよいので、比較的簡単な手法と言えるでしょう。

まとめ:スパム対策を徹底して安全に問い合わせフォームを設置しよう

ホームページやブログの運営を考えると、スパムメールはできるだけ届かないように設定したいものです。
まずは「Google reCAPTCHA」を設置してスパムメールを未然に防ぎ、それでも届くようであればアドレス・ドメインの拒否などを行うようにしましょう。

また、「Google reCAPTCHA」は難しそうで…という方は、あらかじめスパム対策の機能が搭載されたツールを使うのもおすすめです。
formrunを含め、フォーム作成ツールにはさまざまな種類があるので、比較しながらぴったりのツールを見つけてみてください。