「フォームから毎日のように、よく分からないメールが届く」。そんな経験はありませんか。たいていの人は「鬱陶しいけど消せばいいか」と放っておきがちですが、それは危険です。
問い合わせフォームに届くスパム(迷惑メール)は、ただ邪魔なだけではありません。放っておくと、サイトが重くなったり、自分の会社が知らないうちに他人へスパムを送る「踏み台」にされたりすることがあります。また、本来の問い合わせを見落としてしまう可能性も。
この記事では、フォームに届くスパムへの対策5選と、なぜフォームにスパムが来るのか・放置するとどうなるかも合わせて分かりやすく説明します。
結論:まずやるべき対策5選
まず、やるべき対策は下記の5つです。
費用・お客様にかかる手間・おすすめ度をまとめました。それぞれの対策についてのくわしい説明は、この後の章で順番に紹介します。
| No. | 対策 | 費用 | お客様の手間 | おすすめ度 |
|---|---|---|---|---|
| 1 | 見えない入力欄でワナを仕掛ける | 無料 | なし | ◎ まず最初に |
| 2 | 人かプログラムかを自動で見分ける | 無料 | ほぼなし | ◎ |
| 3 | 迷惑メール判定ツールを使う | 会社は有料 | なし | ○ |
| 4 | ソフトを古いまま放置しない | 無料 | なし | ◎ 基本 |
| 5 | メールソフト側で振り分ける | 無料 | なし | ○ |
そもそも、なぜフォームにスパムが来るのか
インターネットの世界には、決まった作業を自動で延々とくり返す「プログラム」がたくさん動いています。こうしたプログラムは「ボット」と呼ばれます。その一部が、世界中のホームページを巡回してフォームを探し出し、見つけたそばから片っ端にメッセージを送りつけてきます。
ここで多くの人が誤解しているのが、「うちみたいな小さな会社は狙われない」という思い込みです。ボットはサイトの規模も知名度も見ていません。フォームが置いてあるかどうか、ただそれだけです。だから、立ち上げたばかりの小さなサイトにも、普通にスパムは届きます。
中でも狙われやすいのが、フォームを動かすソフトが古いまま放置されているサイトです。ソフトは古くなると弱点(セキュリティの穴)がふさがれないまま残るので、攻撃する側からすれば格好の的になります。
スパムを放置すると起こり得る被害
スパムを「ただの迷惑メール」と侮っていると、思わぬ形で痛い目を見ることがあります。実際に起きている被害を、4つ紹介します。
① 本物の問い合わせが埋もれて見落とす
いちばん起きやすいのがこれです。毎日数百件のスパムが届くようになると、その山にまぎれた本物の問い合わせを見逃してしまいます。少ない人数で対応している中小企業ほど、この影響をもろに受けます。気づかないうちに、せっかくの商談のチャンスを捨てているかもしれません。
② サイトが重くなり、最悪ダウンする
フォームへの送信が短時間に集中すると、サイトを動かしているサーバーに大きな負荷がかかります。解説記事では、1時間で1万件規模のスパム送信によって正常なメールが送れなくなった例や、大量のアクセスでサイトが一時的にダウンした例も紹介されています。ネットショップや予約サイトなら、その間の注文や予約はまるごと取り逃すことになります。
③ 知らないうちに「踏み台」にされる
フォームに自動返信メール(「お問い合わせありがとうございます」と自動で返す機能)を設定していると、悪用されることがあります。
手口は、スパムを送りたい人物が、攻撃したい相手のメールアドレスをあなたのフォームに入力します。すると、あなたの会社の自動返信メールが、その相手に送られてしまいます。つまり、被害者だったはずの自社が、いつのまにか加害者の側に立たされることも。実際に、自社のドメインから身に覚えのない返信メールが届く、という被害も報告されています。
④ 自社ドメインの信用が落ちる
フォームが踏み台に使われ続けると、あなたの会社のメールアドレス(ドメイン)が「スパムの発信源」として要注意リストに登録されてしまうことがあります。そうなると厄介で、取引先に送ったごく普通のメールまで迷惑メール扱いされ、相手に届かなくなる、という二次被害が起きかねません。
どれも大げさな話ではなく、フォームを置いている会社なら誰にでも起こりうることです。だからこそ、早めの対策が必要です。
対策の前にースパムには2種類ある
具体的な対策に入る前に、ひとつだけ押さえておきたいことがあります。フォームに来るスパムには、大きく分けて2種類あるということです。
ひとつは、いま説明したプログラム(ボット)が自動で送ってくるものです。英語の羅列や、怪しいリンクだけ、といった機械的な内容が多く、これは仕組みでかなり防げます。
もうひとつは、人間が手作業で送ってくる営業メールです。「補助金申請のお手伝いします」「求人広告を格安で掲載できます」といった、日本語として成立しているものです。実はこちらは、後で紹介する自動の見分けをすり抜けてしまいます。フォームを作る代表的な仕組みであるContact Form 7の公式説明でも、人が手で送るスパムは判定を簡単に回避できる、と記載があります。
そのため、機械向けの対策と人向けの対策は、分けて考える必要があります。前者は次の対策①〜④で、後者は⑤で対応するのがいいでしょう。
迷惑メール対策5選を詳しく説明
具体的な対処法を5つ紹介します。
① 見えない入力欄で「ワナ」を仕掛ける
専門用語では「ハニーポット」と呼ばれる方法です。やることは単純で、フォームに人間の目には映らない入力欄を、こっそり1つ足しておくだけ。人には見えないので誰も触りませんが、機械は欄という欄をすべて埋めようとするので、この見えない欄にも書き込んでしまいます。そこに入力があれば「これは人間じゃないな」と判断してはじく、という仕組みです。
本物のお客様にはまったく見えないため、問い合わせのしやすさはそのままです。費用もかからず効果もしっかりあるので、まず最初に入れたい対策です。WordPressでContact Form 7を使っているなら、「CF7 Apps」という追加機能(プラグイン)を入れれば設定できます。
<注意点>
見えない欄の名前に「honeypot」という文字をそのまま使うと、賢い機械に見破られることがあります。別の名前を付けておきましょう。
② 人かプログラムかを自動で見分ける
Googleが一部無料で提供している「reCAPTCHA(リキャプチャ)」という仕組みです。少し前まで主流だった古いタイプ(v2)は、「私はロボットではありません」にチェックを入れさせたり、信号機の写真を選ばせたりと、お客様には面倒な作業になることも。
新しいタイプ(v3)では、お客様は何もしなくて大丈夫です。裏側でマウスの動きなどから「人間らしさ」を点数にして、こっそり自動で見分けてくれます。手間が増えない分、問い合わせをためらわせにくいのが助かります。Contact Form 7もこのv3を推奨していて、設定画面に2つの「カギ(キー)」を貼り付けるだけで使えます。
<注意点>
判定を厳しくしすぎると、本物のお客様の問い合わせまではじいてしまいます。「Flamingo」という追加機能を入れると1件ごとの点数が見られるので、導入したらしばらく様子を見て調整してください。
また、reCAPTCHAは現在、Google側の仕組みが新しいものへ移行している途中です。すでに使っている場合は設定の見直しが必要になることもあるため、最新の情報はGoogleの公式ページで確認してください。
③ 迷惑メールを自動で判定する専用ツールを使う
「Akismet(アキスメット)」という、WordPressに最初から入っている判定ツールです。届いた内容を専用のデータベースと照らし合わせ、スパムくさいものを自動でより分けてくれます。①②をすり抜けてきたものを最後にチェックする、二段構えの守りといったところです。
ただし、無料で使えるのは個人の趣味サイトだけです。会社のサイト、つまり商売に使うサイトで使う場合は有料プランの契約が必要になります。無料のまま会社で使うのは規約違反にあたるので、導入前に必ず確認してください。
④ ソフトを古いまま放置しない
さきほども触れたとおり、フォームやサイトを動かすソフトは、古いままだと弱点がふさがらず、狙われやすくなります。WordPress本体、デザイン(テーマ)、フォームの追加機能など新しいバージョンが出たら、こまめに更新するのが基本です。
「更新したら見た目が崩れないか心配」という声もよく聞きます。その場合は、本番とは別の練習用サイトで先に試す方法や、更新作業ごとホームページの管理会社に任せる方法もあります。
⑤ メールソフト側で「振り分け」を設定する
①〜④は、機械が送ってくるスパム向けの対策でしたが、人が手で送ってくる営業メールは仕組みで止めるのが難しいので、受け取る側で工夫します。
GmailやOutlookには「振り分け」機能があります。特定の言葉が入ったメールや、決まった送信元からのメールを、自動で別フォルダに移しておく設定です。こうしておけば、営業メールの山に本物の問い合わせが埋もれる心配が減ります。フォーム自体は止めずに済むのも、ありがたいポイントです。
取り組む順番と「やりすぎ」への注意
どれから手をつけるか迷ったらまずは、お客様にまったく影響しない①(見えない入力欄)を試しましょう。それでもスパムが残るなら②(自動の見分け)を追加します。会社のサイトでさらに精度を上げたいなら、有料の③を足します。④(ソフトの更新)はすべての土台なので、これは常に続けてください。⑤(振り分け)は、人からの営業メール対策として並行して設定しておくと安心です。
ひとつだけ気をつけたいのが「やりすぎ」です。確認のステップを増やしすぎると、お客様が面倒に感じて、問い合わせ自体をやめてしまいます。スパムはゼロになったけど問い合わせも激減した、では元も子もありません。対策を入れたあとは、本物のお客様をうっかりはじいていないか確認しながら、影響の小さいものから順に進めるのが安全です。
よくある失敗パターン3つ
- 古いタイプ(v2)のまま使い続けている。
→お客様に手間をかけてしまうので、操作のいらないv3への切り替えを検討しましょう。 - 対策を入れたのにスパムが減らない。
→ひとつだけで満足せず、①の見えない入力欄と組み合わせられているか見直してください。
- 本物の問い合わせが届かなくなった。
→判定が厳しすぎるサインです。点数を確認して、少しゆるめに調整しましょう。
心配な方は、ぜひ弊社へご相談ください。
まとめ
① 見えない入力欄(ハニーポット)を追加する
② reCAPTCHA v3 を導入する
③ Akismet を入れる
④ WordPress・プラグインを最新に保つ
⑤ メールを振り分け設定する
フォームへのスパムはただ邪魔なだけでなく、サイトダウンや踏み台被害、ドメインの信用低下といった思わぬ被害につながるため、放置は厳禁です。
スパムには機械が自動で送るものと、人が手で送る営業メールの2種類があり、それぞれ効く対策が異なります。まずは違いを頭に入れたうえで、①の見えない入力欄から順番に対策を入れていきましょう。本物の問い合わせをはじいていないか確認しながら、ひとつずつ進めていくのが大切です。