無くならない迷惑メールは誰が送っている？

日々大量に送信されている迷惑メールを、一体どこの誰が送っているのか、皆さんは想像してみた事はありますか？

薄暗い部屋の中、巨大なコンピューターに囲まれた怪しげな空間からハッカーが送信しているのでしょうか？　それとも、恐ろしい犯罪組織が関与しているのでしょうか？

そのような例もあるかもしれませんが、実はwebサイトに用意されたお問い合わせ窓口を悪用した迷惑メールの送信という事例は非常に多いのです。

貴方が作ったwebサイトのお問い合わせフォームが知らない間に悪用されて、気がついた時には迷惑メールの送信をしている加害者になっているという可能性が十分にあるのです。

迷惑メールの送信者になった場合どうなる？

実際に迷惑メールの送信者になってしまった場合、「知らなかった」の一言で全てが許される事はありません。何が起きるのか確認してみましょう。

第一段階: 警告

多くの場合、まず最初にサーバーの管理会社（またはプロバイダ）から、迷惑メールの送信についての警告文書が、登録しているメールアドレス宛てに届きます。

この時のメールを、「身に覚えがない」「よくわからない」と無視してしまうと、第二段階へ進むことになります。ただし、迷惑メールの送信量が非常に多い場合には、この第一段階や第二段階を飛ばして、緊急の処置が行われる場合もあります。

第二段階: メール機能制限

メールの送信機能が制限されます。1時間あたりに送信できる件数が制限されたり、全く何も送信が出来ない状態になってしまいます。

この状態になっても、何も行動を起こさない場合や、迷惑メールの送信が止まらない場合には、制限がより強固な物になり、場合によっては受信機能なども含めてメールの全ての機能が利用出来ない状態になる場合があります。

第三段階: アカウント凍結

メール機能の制限のみで対応が終了する場合もありますが、メールの内容が悪質なフィッシング詐欺だったり、マルウェアを含む内容だったりするような場合には、メール機能以外も含めた全ての機能が、停止される場合があります。

そうなってしまっては、webサイトも全て閲覧出来ない状態となります。

その他の対応

サーバーの管理会社によるペナルティーだけではありません。あなたのドメインが様々な機関のブラックリストに登録される事があります。

一度ブラックリストに登録されると、メールの送受信は勿論、webサイトを開いた時に、このドメインは危険なwebサイトの可能性が高いとして、セキュリティソフトが閲覧者に対して警告を発するようになる場合もあります。

危険なwebサイトであると判定されてしまうと、検索結果からも除外されて、事実上アクセスすることが困難な状態になります。

こうなるとサーバー管理会社ですら、ブラックリストから解除する事は難しい状態となってしまいます。

折角お金を払ってドメインを購入したり、サーバーを契約したのに、知らない間に何もかもが台無しになってしまう可能性があるのです。

お問い合わせ窓口の悪用による送信とは？

対策方法の話をする前にまずはお問い合わせフォームの悪用とはどのような物かについて解説します。

「お問い合わせありがとうございました！」←このメール誰に送ってます？

タイトルの通りなのですが、お問い合わせの受け付けメールを送信する時に、そのメールが悪用されてしまう事になるのです。

よくあるお問い合わせフォームの例では以下の様な手順になると思われます。

1. お問い合わせページを開く
2. お問い合わせ内容を入力する
3. 返信先メールアドレスを入力する
4. 送信ボタンを押す
5. webサイトからお問い合わせが行われる
6. 「3」で入力した返信先に、受付メールが送信される

ここで問題になるのは、自分が所有していない第三者のメールアドレスを入力した場合です。何も知らない第三者は、突然あなたのwebサイトからお問い合わせメール経由でスパムメールが届く事になります。

ちょっと待って？　受付メールって本文を自由に変更出来ないんじゃない？

お問い合わせフォームを悪用してスパムを送信している人々は、お問い合わせ内容にスパムの内容を記述する事で、スパムを行っています。

例えば、お問い合わせ内容に

貴方のメールアドレスはハッキングされました。至急このURL→ https://example.com/ をクリックして回復してください。

という内容を記載したならば、受付メールの内容には、

お問い合わせありがとうございました。 以下の内容で受け付けました。

受付内容: 貴方のメールアドレスはハッキングされました。至急このURL→ https://example.com/ をクリックして回復してください。

恐れ入りますが、ご返信までお待ちください。

といった具合に、メールの本文にお問い合わせ内容が組み込まれる事を利用してスパム行為を行うのです。

多くの人はメールの内容に不信感を持つでしょうが、スパムメールという物は数十万件のメールを送信して、その中から一人でも間違ってクリックするような人を罠にはめる事を狙っていますので、他人のメールアドレスを使ってスパムが送信出来る事が重要なのです。

スパマーにお問い合わせ窓口を悪用されないようにする方法

悪意あるスパマーからお問い合わせフォームを保護するその方法をご紹介いたします。

お問い合わせフォームの撤廃

お問い合わせフォームが無ければ、そもそも悪用されることもありません。

何となくでお問い合わせフォームを設置している場合には、本当に自分のwebサイトにお問い合わせ窓口が必要かを検討してみましょう。

お問い合わせフォームではなく、連絡先メールアドレスを掲示して、そのメールアドレス宛に連絡するように依頼するのも有効です。

お問い合わせフォームで受付メールを送信しないようにする

受付メールが原因となっているのですから、その受付メールを送信しないようにする事で悪用を防止する方法です。

受付メールを送信しない設定に変更後、「受付メールは送信しておりません」の一文を、お問い合わせフォームに記載する事で対応します。

お問い合わせフォームの受付メールを固定文面にする

お問い合わせ内容をメール本文に記載しないようにする事で、悪用される可能性を減らします。

受付があった事実のみを知らせる内容を、入力されたメールアドレス宛てに送信することになります。

しかしながら、嫌がらせ目的で大量のメールを送信することが目的の場合には、この方法では不十分です。

お問い合わせフォームにreCAPTCHA等の認証サービスを入れる

reCAPTCHAとは、人間かロボット（プログラム）かを判定する仕組みです。 写真が表示されて「自転車を全てクリックしてください」という指示が表示されたり、「私はロボットではありません」のチェックを入れる事を要求されたことはありますでしょうか？　あの技術がreCAPTCHAです。

お問い合わせ窓口の悪用は多くの場合、人力では無くプログラムによって自動的に操作が行われています。そのため、reCAPTCHAを導入する事で悪用されるリスクを最小限に留める事が期待できます。

しかし、近年ではreCAPTCHAを回避する手段が開発されたり、人力で嫌がらせを行ったりという場合には、スパムを止める事ができません。

まとめ

webサイトに「お問い合わせフォーム」があると便利ですが、悪用されるリスクがある事は忘れてはいけません。 リスクと利便性を比較して、お問い合わせフォームを撤去する事も視野に入れることが、自分のwebサイトを守る事に繋がります。 悪用されてからでは遅く、「こんなはずじゃなかった」「知らなかった」とならないように、お問い合わせフォームの悪用防止対策を是非ご検討ください。