毎日300件以上押し寄せるスパムメールにどう対処したか。

最終更新日:2023/03/20   公開日:2022/11/04

現在のビジネス・企業サイト運営において,サイト内の「お問い合わせページ」や「カタログ・資料請求フォーム」の設置は必須と言えるでしょう。企業が販売する商品やサービスに対しての質問や要望といった顧客との接点や、見込み客となりえるリード獲得の入り口として極めて重要です。

そのフォームに対してしばしばスパムメールによる被害が発生し、お客様からご相談を頂きます。迷惑メールは顧客との重要な接点の場を荒らされ業務を妨害されるだけでなく、情報漏洩・PCのウイルス感染のリスク等もあり確実に対処する必要があります。

今回は「WordPressで会社サイトを運営しているが、突然毎日300件以上のスパムメールが来るようになり困っている」いう弊社のお客様からの実際の事例をご説明します。

スパムメールを放置する危険性

対応のわずらわしさから放置されがちなついつい迷惑メールですが、 スパムのリスクは単純に不必要な大量メールによって業務が妨害されるというだけではありません。

• 機密情報・個人情報の漏洩
• パソコンのウイルス感染の危険性
• 架空請求などの詐欺被害

このような重大なリスクが懸念され、企業サイトであればなおさら深刻な問題に発展する恐れがあります。自社の情報はもちろん顧客の個人情報の流出等が起これば企業として深刻な信用低下につながりかねません。実際様々な被害が毎日報道されています。

毎日300件以上のスパムメールが洪水のようにやってきた

このように有害なスパムメールに関して、お客様よりご依頼を頂きました。概要としては

• 突然毎日約300件ものスパムメールが送られてきている。
• お客様からの重要なお問合せを把握できず業務に支障が出て困っている。

このため速やかに問題解決をしてくれないか、というご相談でした。今回はこちらのお客様からのご相談ご依頼を元に、弊社がいかに効果的なスパムメール対策を行ったかについて解説いたします。

お客様はContact Form 7を導入していた

まずお客様のサイトを調査したところ、WordPressでフォームの部分をContact Form 7が導入されていることが分かりました。Contact Form7はWordPressのフォーム作成用プラグインであり、これを使うとWebサイトにフォームを簡単に作成する事が出来ます。簡単な操作性が評価されており、非常に多くのユーザ－に利用されている一般的なフォームプラグインです。

大変使いやすく便利なContact Form7ですが、そのままの標準機能だけで利用していると、しばしばこのような迷惑メール被害を受ける場合があります。以下、ご相談を踏まえて弊社がご提案した迷惑メール対策をご紹介いたします。

弊社のスパムメール対処法の提案は主に2つ

今回、お客様からお話をお聞きして、弊社では以下の二つの対策をご提案しました。

・対策1:グーグルの reCAPTCHA導入を提案

・対策2:メールアドレス名を使い分けて、かつわかりにくくするご提案

結論から言いますと、これによって以後スパムメールは収まりました。

以下詳細を分かりやすく解説いたします。

スパム対策1:「Googleの reCAPTCHAを導入しましょう」

まずGoogleが提供している reCAPTCHA（リキャプチャ）を即時導入しました。reCAPTCHAはスパム・bot対策において非常に効果的で、弊社としても積極的に導入をオススメしています。

• Google recaptcha

「リキャプチャ？」と言っても聞きなじみの無い方が多いかも知れません。しかしこれを見れば「ああ、そう言えば見たことあるかも」という方もいらっしゃるのではないでしょうか。恐らくサイトやアプリのログインする直前でこういう画面を見たことがあるのではないかと思います。この画面が出ていると、スマホやマウスでチェックを入れないと次画面に進めません。

また、このように画像を選択するタイプのチェックを受けたことがある方も多いでしょう。

このようにサイト利用時のこのようなチェックボックスや画像による認証がreCAPTHAのシステムです。

そもそもreCAPTCHA（リキャプチャ）とは？

reCAPTCHAはGoogleが提供している認証サービスで、スパマーによるウェブサイトへの攻撃・侵入を効果的に防ぐことができます。

スパマーによる迷惑メールの多くは人による手作業ではなくbotという自動的な仕組みで送りつけてくるというケースがほとんどです。reCAPTCHAは送られてきたメールに対して

• 人間による送信なのか
• コンピューターによるbotの自動送信なのか

これらを判別する優れた認証ツールとなります。今やフォームなどからのbot対策としてはreCAPTCHAは定番で導入必須のシステムと言えるでしょう。

reCAPTCHAの種類は？

現在のreCAPTCHAは2種類の設定が用意されています。

• reCAPTCHA v3
• reCAPTCHA v2

v3Gが最新バージョンですがサイトの環境によっては使えない場合もありますので動作条件の確認が必要です。以下それぞれの特徴をご説明します。

reCAPTCHA v3とは

reCAPTCHA v3はサイトユーザーのアクションパターンに基づいて行動分析を行い、botか人間か高い精度でスコア判定を行います。v2で 表示される認証用のチェックボックスや画像認証が存在しませんので、サイト利用者としてもわずらわしさがなく、認証を受けているというストレスもありません。ユーザー目線で考えると、チェックの押し間違えや認証の遅延などわずらわしさからくるサイトの離脱も防げます。

reCAPTCHA v2とは

eCAPTCHA v2はチェックボックスが設置され、送信の際はユーザーによる認証アクションが必須となります。チェックボックス確認の後にbotの疑いが残る場合は画像の認証が用意されます。ユーザーによるアクションが入るので、わずらわしさを感じる可能性はありますが、botにとってハードルの高い認証となるので判別精度は向上します。

Contact Form 7はreCAPTCHA v3に対応

Contact Form7はVer5.1以降だとreCAPTHA v3が導入可能です（v2では対応してませんので注意が必要です）。Contact Form7 におけるreCAPTCHAの設定は非常に簡単です。

Google reCAPTCHAにサイト登録した後、WordPress左メニューバーのお問合せのインテグレーションからContactForm7を開きサイトキーとシークレットキーをコピペするだけです。

設定したフォームなどにアクセスしてreCAPTCHAが反映されているか確認ください。

以上がreCAPTCHAを用いたスパムメール対策となります。

• 自社のサイトはどのreCAPTCHAのバージョンが適しているのか？
• reCAPTCHAの管理画面の見方を詳しく知りたい
• スコアの設定変更の仕方がわからない

などといったreCAPTCHAに関するご相談がありましたらお気軽にご連絡ください。

ちなみに今回のお客様のサイトのContact Form7のバージョンが古く、また大人の事情からバージョンアップが難しかったこともあり、とりえずv3ではなくv2を導入させて頂きました。古いバージョンを使うリスクは当然ご説明しました。入れてくれと言われたことを単に作業するだけでは無く、趣旨を踏まえて仕様を調査し、適切な選択肢をご提案出来るのが弊社の強みだと思っています。

続いてメールの使い分けやアドレス名作成の観点から有効なスパム対策を解説します。

スパム対策2:「メールアドレス名を使い分けて、かつわかりにくくしましょう」

今回のスパムメール対策において、reCAPCHAの導入とあわせて弊社が提案した点はメールアドレスを使い分けて、かつメールアドレスをわかりにくくするです。

お客様のサイトでお問合せフォームに使用されているメールアドレスを確認したところ、

• 問い合わせを受ける社内展開用のアドレス
• 問い合わせに対してお客様へ自動で返信するメールのアドレス

この2つが同じアドレス1つで併用されていました。

そしてもう一つ問題だったのは、そのアドレスの名前が

「info@・・・.com」といった簡易な名前だった点です。

結論として、スパム対策として以下の二点をご提案、実施いたしました。

• 社内展開用とお客様への自動返信用のメールアドレスを分ける
• メールアドレスの@の左側は想像しにくい名称にする。

以下説明いたします。

社内用メールとお客様への自動返信用のアドレスを分ける

フォームから送信された問い合わせなどのメールを

• 企業側が受け取る社内展開用のメールアドレス
• 問い合わせた方に自動で送り返す返信用メールアドレス

この二つはそれぞれに、個別のメールアドレスを割り当てました。分割することによりメールアドレスを外部に流出するリスクを減らすことが出来ます。社内展開用のメールアドレスは社外に出ることはありませんので必然的にスパム業者には補足されません。また、自動返信メアドは送信専用にしておけば、こちらもスパム業者にどこかで補足されたとしても受信出来ませんので、問題はありません。

メールアドレスの＠を一般的すぎるinfoとかにしない。

実にありがちですが、一般的な転送用メールアドレスを作るとき、

• 「info@・・・com」
• 「sale@・・・co.jp」

というのは典型的なパターンです。しかし、これが実は絶対にやってはいけない事なのです。見わけのつきやすい簡単な単語を設定することはメリットが大きいように思えますが、使用が容易に予測されるアドレス名はスパマーが狙いやすく、スパムメールを打たれる可能性が極めて高いのです。メールアドレス名の設定としてはスパマーから推察されづらいものを選びましょう。

• 社内展開用アドレス作成例「form-c-user0100@・・・.jp」

といったような簡単には想像しにくいメールアドレスを作るだけで、スパムメールを回避出来る確率が跳ね上がります。

WordPressサイトのスパムメールへの対処法まとめ

今回はWordPressサイトで大量のスパム・迷惑メールが来てしまった場合の対処法を弊社のお客様の事例に基づいて解説しました。お客様としてはこのスパムメールに相当ストレスを感じていたとのことで

「スパムメールの件について迅速にご対応いただき大変ありがとうございました。大変助りました。」

とのお言葉を頂きました。今回のスパム対策のポイントとしては

• GoogleのreCAPTCHAを導入する
• フォーム用メールを使い分けてかつアドレス名を工夫する

この2点の対応で、ほとんどのスパムメール防止が見込まれます。

弊社ではこのような技術力と経験、そこから生み出される知恵を元に、お客様が直面する様々な非定型かつ難しい問題に、コンサルティングをコアとした解決策をご提供しています。どんなご相談でもお気軽にお寄せ下さい。