menu
Webを活用してお客様のビジネス課題を解決します。札幌・東京を拠点にWebコンサルティングをコアにした、Web制作・Webシステム開発・サーバ構築会社です。

お客様の事例で見る、reCAPTCHAを活用したWordPressサイトのスパムメールへの対処法。

お客様の事例で見る、reCAPTCHAを活用したWordPressサイトのスパムメールへの対処法。

最終更新日:2022/11/17   公開日:2022/11/04

現在のビジネス・企業サイト運営において,サイト内の「お問い合わせページ」「カタログ・資料請求フォーム」の設置は必須と言えるでしょう。

企業が販売する商品やサービスに対しての質問や要望といった顧客との接点や、見込み客となりえるリード獲得の入り口として極めて重要です。

しかしWordPressで制作されたサイトにおいて悪質なユーザーの送信によるスパムメール被害が散見されます。

実際に弊社に寄せられるセキュリティ関連の依頼の中でも、スパムへの対処案件は数多く頂きます。

迷惑メールは顧客との重要な接点の場を荒らされ業務を妨害されるだけでなく、情報漏洩・PCのウイルス感染のリスク等もあり確実に対処しておきたいものです。

今回は「300件以上のスパムメールで業務が妨害されている」いう弊社のお客様からの報告事例を基にWordPressサイトのスパムメールへの対処法を解説します。

スパムメール放置の危険性

対応のわずらわしさから放置されがちな迷惑メールですが、 スパムの害は単純に不必要な大量メールによって業務が妨害されるというだけではありません。

  • 機密情報・個人情報の漏洩
  • パソコンのウイルス感染の危険性
  • 架空請求などの詐欺被害

このような重大なリスクが懸念され、企業サイトであればなおさら深刻な問題に発展する恐れがあります。

自社の情報はもちろん顧客の個人情報の流出等が起これば企業として深刻な信用低下につながりかねません。

大手国内航空会社の数億円規模の詐欺被害も偽のスパムメールが犯行の手口の一つとされており、その他ランサムウェアによる大企業のPCウイルス感染による顧客アドレスや住所漏洩などスパムによる被害は数多く報告されています。

特に社内パソコンを前提と考えれば不特定多数の社員がPCを扱う可能性もあり、スパムを放置すること自体が会社にとってのリスクであり、対策は必須と言えるでしょう。

スパム事例:合計300件以上で業務に支障

このように有害なスパムメールに関して、弊社お客様よりご依頼を頂きました。

概要としては

  • 合計300件ものスパムメールが送られてきている
  • 不要な情報過多で業務を妨害されている
  • お客様からの重要なお問合せを把握できず誤ってメールを削除してしまうリスク

こういった点から速やかに問題解決をしてくれないか、というご相談でした。

今回はこちらのお客様からのご相談、ご依頼を元に、弊社がいかに効果的なスパムメール対策を行ったかについて解説いたします。

注目点:Contact Form 7の導入について

スパム対応にあたってお客様のサイトを拝見したところ、WordPressにContact Form 7が導入されていることが分かりました。

Contact Form7はWordPressのプラグインであり、これを使うとWebサイトにフォームを簡単に作成する事が出来ます。簡単な操作性が評価されており、世界中で多くのユーザ-に利用されています。

このように大変使いやすく便利なContact Form7ですが、そのままの標準機能だけで利用していると、しばしばこのような迷惑メール被害を受ける場合があります。

以下、ご相談を踏まえて、弊社がご提案した迷惑メール対策をご紹介いたします。

弊社のスパムメール対処法の提案は主に2つ

今回、お客様からお話をお聞きして、弊社では以下の二つの対策をご提案しました。

対策1:グーグルの reCAPTCHA導入を提案

・対策2:フォーム用メールの効果的な運用とアドレス名の設定の提案

これによって以後スパムメールは収まりました。

以下詳細を分かりやすく解説いたします。

スパム対策1:グーグルの reCAPTCHA導入を提案

Googleが提供している reCAPTCHA(リキャプチャ)はスパム・bot対策において非常に効果的で、弊社としても積極的に導入をオススメしています。  Google recaptcha

リキャプチャ?と言っても聞きなじみの無い方が多いかも知れません。しかしこれを見れば「ああ、そう言えば見たことあるかも」という方もいらっしゃるのではないでしょうか。

恐らくサイトやアプリのログインする直前でこういう画面を見たことがあるのではないかと思います。

この画面が出ていると、スマホやマウスでチェックを入れないと次画面に進めません。

また、このように画像を選択するタイプのチェックを受けたことがある方も多いでしょう。

サイト利用時のこのようなチェックボックスや画像による認証がreCAPTHAのシステムです。

そもそもreCAPTCHA(リキャプチャ)とは?

reCAPTCHAはGoogleが提供している認証サービスで、スパマーによるウェブサイトへの攻撃・侵入を効果的に防ぐことができます。

スパマーによる迷惑メールの多くは人による手作業ではなくbotという自動的な仕組みで送りつけてくるというケースがほとんどです。

reCAPTCHAは送られてきたメールに対して

  • 人間による送信なのか
  • コンピューターによるbotの自動送信なのか

これらを判別する優れた認証ツールとなります。今やフォームなどからのbot対策としてはreCAPTCHAは定番で導入必須のシステムと言えるでしょう。

reCAPTCHAの種類を解説

現在のreCAPTCHAは2種類の設定が用意されています。

  • reCAPTCHA v3
  • reCAPTCHA v2

v3は最新バージョンですがサイトの環境によってはv3が使えない場合もありますし、目的によって使い分けることを提案します。

reCAPTCHA v3とは

reCAPTCHA v3はサイトユーザーのアクションパターンに基づいて行動分析を行い、botか人間か高い精度でスコア判定を行います。

v2で 表示される認証用のチェックボックスや画像認証が存在しませんので、サイト利用者としてもわずらわしさがなく、認証を受けているというストレスもありません。

ユーザー目線で考えると、チェックの押し間違えや認証の遅延などわずらわしさからくるサイトの離脱も防げます。

reCAPTCHA v2とは

eCAPTCHA v2はチェックボックスが設置され、送信の際はユーザーによる認証アクションが必須となります。

チェックボックス確認の後にbotの疑いが残る場合は画像の認証が用意されます。

ユーザーによるアクションが入るので、わずらわしさを感じる可能性はありますが、botにとってハードルの高い認証となるので判別精度は向上します。

Contact Form 7はreCAPTCHA v3に対応

Contact Form7はreCAPTHA v3で導入可能です。しかしv2では対応してませんので注意が必要です。

Contact Form7 を使用したうえでのreCAPTCHAの設定も非常に簡単です。

Google reCAPTCHAにサイト登録した後、WordPress左メニューバーのお問合せのインテグレーションからContactForm7を開きサイトキーとシークレットキーをコピペするだけです。

設定したフォームなどにアクセスしてreCAPTCHAが反映されているか確認ください。

以上がreCAPTCHAを用いたスパムメール対策となります。

  • 自社のサイトはどのreCAPTCHAのバージョンが適しているのか?
  • reCAPTCHAの管理画面の見方を詳しく知りたい
  • スコアの設定変更の仕方がわからない

などといったreCAPTCHAに関する案件も弊社で対応しておりますのでお気軽にご連絡ください。

ちなみに今回のお客様のサイトのContakt Form7のバージョンが古かった事から、v3ではなくv2を導入させていただくという対応をさせていただきました。入れてくれと言われたことをピンポイントで行うだけでは無く、ざっくりした内容でも趣旨を踏まえて使用を調査し、適切な提案対応が出来るのが弊社の強みだと思っています。

続いてメールの使い分けのポイントやアドレス名作成の観点から有効なスパム対策を解説します。

スパム対策2:効果的なメール運用とアドレス名の設定の提案

今回のスパムメール対策において、reCAPCHAの導入とあわせて弊社が提案したい点は

メールの運用とアドレス名の設定についてです。

今回のお客様のサイトでお問合せフォームに使用されているアドレスに着目しました。

  • 問い合わせを受ける社内展開用のアドレス
  • 問い合わせに対してお客様へ自動で返信するccメールのアドレス

この2つが同じアドレス1つで併用されていました。

そしてもう一つ改善余地があると感じたポイントは、そのアドレスの名前が

「info@・・・.com」といった簡易な名前だった点です。

結論として、スパム対策にとってより有効なメール運用として提案したいのは2点です。

  • 社内展開用とお客様への自動返信用ccのアドレスを分ける
  • アドレス名の作成のポイントを押さえた新しいアドレスを作ってフォームに適用

この2つを起点にスパム対策を考えたいと思います。

社内用メールとお客様への自動返信用のアドレスを分けるメリット

フォームから送信された問い合わせなどのメールを

  • 企業側が受け取る社内展開用のメールアドレス
  • 問い合わせた方に自動で送り返す返信用ccアドレス

この二つはそれぞれ別のアドレスを割り当てる事をオススメします。

分割することによりそれぞれ役割に応じたアドレス名を作ることができます。そして送信専用や外部非公開など用途を分けることができるのも大きなメリットです。

まずはアドレスの名前の作成についてのポイントを解説します。

アドレス名作成ポイント:一般的すぎる単語は@左側の設置を避ける

  • 「info@・・・com」
  • 「sale@・・・co.jp」

このようなシンプルな単語のアドレス名は視覚的にも分かりやすいので企業メール等でも使われがちです。

見わけのつきやすい簡単な単語を設定することはメリットが大きいように思えますが、使用が容易に予測されるアドレス名はスパマーとしても狙いやすく、やみくもにメールを打たれる可能性が上がります。

アドレス名として一般的すぎるものは@の左側に置くことは避けるのが無難です。

社内展開用メールの設定とアドレス名作成のコツ

社内用のアドレスは外部に非公開の転送アカウントとして運用するのがポイントです。限られた用途のみのアドレスの利用はスパム対応として有効となります。

そしてアドレス名の設定としてはスパマーから推察されづらいものを選びましょう。

  • 社内展開用アドレス作成例「form-c-use0100@・・・.jp」

お客様への自動返信用ccの設定とアドレス名作成のコツ

続いてお客様への自動返信用ccメールは「送信専用」として扱うのがポイントです。

そのうえでお客様にも送信専用であると認識してもらうために

「※このメールアドレスは送信専用です。メールによる受け付けをしておりませんのでお問い合わせはフォーム、又は弊社までお電話下さい。」

といった但し書きをつける設定をContactForm7で行うと、送られた側としても認識しやすいでしょう。

そのうえで、自動返信用ccのアドレス名作成は意味不明な記号アドレスを使う事を推奨します。

意味をなさない数記号や英字の羅列にすることでスパマーの推測も困難となるのでオススメです。

  • 自動返信用アドレス名作成例「conf098-11pdxc@・・・.jp」

実際、最適なアドレス名やいくつアドレスを用意すべきか・・・といった具体的な提案も弊社で対応しておりますのでお気軽にお問い合わせください。

WordPressサイトのスパムメールへの対処法まとめ

今回はWordPressサイトで多くお悩み相談を頂くスパム・迷惑メールの対処法を弊社のお客様の事例に基づいて解説しました。

お客様としてはこの度のスパムメールに相当ストレスを感じていたとのことで

「スパムメールの件について迅速にご対応いただき大変ありがとうございました。大変助りました。」

とのお言葉を頂きました。対応にご満足いただけたとのことで、弊社としてもお客様にとってさらにより良いサービスや開発を追求し邁進する思いであります。

今回のスパム対策のポイントとしては

  • GoogleのreCAPTCHAを導入する
  • フォーム用メールを使い分けてアドレス名を工夫する

このような対策である程度のスパム防止が見込まれます。

しかし現在のAIを含めた技術の革新は目を見張るものがあり、企業を標的としたbotやサイバー攻撃など日々新しい高度な手口による被害が報告され、対策が後手に回ることも考えられます。

弊社ではスパム対策などセキュリティを含めて数多くのサイト開発実績もあり、豊富なプランも用意しておりますのでお困りごとがあればご相談ください。