MENU
  1. ホーム
  2. レンタルサーバー
  3. エックスサーバー
  4. 非公式マニュアル
  5. 【エックスサーバー非公式マニュアル】メールフォームを悪用した不正アクセス

【エックスサーバー非公式マニュアル】メールフォームを悪用した不正アクセス

PR
非公式マニュアル
目次

\ 初心者におすすめ /

以下の3つを利用すると
最短最速でブログ収益化ができます

【レンタルサーバー】

エックスサーバー

【WordPressテーマ】

SWELL

【SEOツール】

ラッコキーワード

上記のリンクを選択すると、各サービスの詳しい記事に移動します。

サイト上に設置した問い合わせ用などのメールフォームにおいて、悪意を持った人物が問い合わせ内容にスパム(フィッシングサイトのURLや宣伝広告など)、連絡先欄に無関係な第三者のメールアドレスを入力して送信することで、自動返信機能により無関係な第三者へスパムメールを送信するという攻撃です。

メールフォームの悪用の流れ
エックスサーバー公式サイト

このようなスパムメールが送信されるとメールの受信者に被害が及ぶだけでなく、サーバーが持つIPアドレスのレピュテーション(評判)が下がり、ブラックリストに登録される恐れがあります。

ブラックリストに登録されると正常なメールでさえも送信できなくなるなどの問題が発生します。

こういったメールフォームを悪用した不正アクセスには以下のような対策が有効です。

  • reCAPTCHAの導入
  • 自動返信機能の無効化

reCAPTCHAとはGoogleが無料で提供しているセキュリティ対策ツールです。
これにより人間からのアクセスかロボットからのアクセスかを判別し、ロボットからのアクセスの場合は何らかのアクションを要求するようになります。

メールフォームの悪用を含め不正アクセスの大半はロボットによるもののため、reCAPTCHAの導入は対策として非常に効果的です。

プラグイン「Contact Form 7」を利用してメールフォームを設置している場合

STEP

「Google reCAPTCHA」にアクセスしてください。

Googleアカウントが必要です。
https://www.google.com/recaptcha/intro/v3.html

STEP

「Admin Console」をクリックしてください。

エックスサーバー公式サイト
STEP

必要事項を入力し、送信をクリックしてください。

エックスサーバー公式サイト
ラベルサイトを容易に識別できるラベル(ブログのタイトルやURLなど)を入力します。
reCAPTCHA タイプ「スコアベース(v3)スコアに基づいてリクエストを検証します」を選択します。
ドメインreCAPTCHAを導入したいサイトのドメインを入力します。
Google Cloud利用規約の同意内容を確認のうえ問題なければチェックを入れます。
STEP

送信完了画面に記載されている、サイトキーおよびシークレットキーをコピーして控えておいてください。

エックスサーバー公式サイト
STEP

WordPress管理画面を開き、左メニュー「お問い合わせ」-「インテグレーション」をクリックしてください。

「外部 API とのインテグレーション」の画面にてreCAPTCHAの「インテグレーションのセットアップ」をクリックしてください。

エックスサーバー公式サイト
STEP

手順4にて控えておいたサイトキーおよびシークレットキーを入力し、「変更を保存」をクリックしてください。

エックスサーバー公式サイト
STEP

以上でreCAPTCHAの導入設定は完了です。

サイトにアクセスし、以下のようなアイコンが画面右下に表示されていることを確認してください。

エックスサーバー公式サイト

自動返信機能を無効化することにより、無関係な第三者にスパムメールが送信されることを防ぐことができます。

ただし、メールフォームに送信された通常の問い合わせなどに関しても受付完了メールが届かなくなるため、問い合わせユーザーへ不安を抱かせる可能性があります。

プラグイン「Contact Form 7」を利用してメールフォームを設置している場合

STEP

WordPress管理画面を開き、左メニュー「お問い合わせ」-「コンタクトフォーム」をクリックしてください。

コンタクトフォームの一覧より「編集」をクリックしてください。

エックスサーバー公式サイト
STEP

「メール」タブ内にある「メール (2) を使用」のチェックを外し、「保存」をクリックしてください。

エックスサーバー公式サイト

エックスサーバー社のCGIツールを利用してメールフォームを設置している場合

STEP

サーバーパネルにログインし、「CGIツール」をクリックしてください。

エックスサーバー公式サイト
STEP

メールフォーム欄の「一覧・インストール」をクリックしてください。

エックスサーバー公式サイト
STEP

該当ドメインの「選択する」をクリックしてください。

エックスサーバー公式サイト
STEP

「設定画面URL」のURLをクリックしてください。

エックスサーバー公式サイト
STEP

上部メニューより「自動返信メールの設定」をクリックしてください。

エックスサーバー公式サイト
STEP

「自動返信メールの使用しない」を選択し、「設定を保存する(確認)」をクリックしてください。

エックスサーバー公式サイト
STEP

「設定を保存する(確定)」をクリックしてください。

エックスサーバー公式サイト

前述の対策にあわせて以下の対応を実施していただくことで不正アクセスの防止に繋がります。

  • 利用中のWordPressや各プラグイン、テーマファイルの更新
  • 利用中のWordPressや各プラグイン、テーマファイルの脆弱性確認
  • ファイルの改ざん、不正なファイル設置の確認

古いバージョンのプログラムを使用し続けることで不正アクセスの対象として狙われるリスクが高くなります。

以下の方法にて最新版へのアップデートをしてください。

WordPressの場合

WordPress管理画面を開き、左メニュー「ダッシュボード」-「更新」をクリックしてください。

新しいバージョンがある場合、以下のようなメッセージが表示されているので「バージョン *.*.*-ja に更新」をクリックします。

WordPressの更新画面
エックスサーバー公式サイト

プラグインの場合

WordPress管理画面を開き、左メニュー「プラグイン」-「インストール済みプラグイン」をクリックしてください。

新しいバージョンが利用できるプラグインでは以下のようなメッセージが表示されているので「更新」の箇所をクリックします。

WordPressのプラグイン画面
エックスサーバー公式サイト

テーマの場合

WordPress管理画面を開き、左メニュー「外観」-「テーマ」をクリックしてください。

新しいバージョンが利用できるテーマでは以下のようなメッセージが表示されているので「今すぐ更新」の箇所をクリックします。

WordPressのテーマ画面
エックスサーバー公式サイト

利用中のプラグインやテーマファイルの配布元、または以下サイトにて脆弱性情報が公開されていないか確認してください。

  • 脆弱性とは、OSやソフトウェアにおいてプログラムの不具合や設計上のミスが原因となって発生するセキュリティ上の欠陥のことをいいます。
  • 脆弱性のある状態でシステムを利用し続けていると、不正アクセスされたり、ウイルスに感染したりする危険性があります。

JVN iPedia 脆弱性対策情報データベース

国内外で発見された脆弱性情報を確認することができます。

JPCERT Coordination Center

国内で発見された脆弱性情報を確認することができます。

ファイル管理(ファイルマネージャ)にて以下2点を確認してください。

  • ファイルが改ざんされていないか
  • 不正(身に覚えのない)ファイルが設置されていないか

エックスサーバー公式マニュアル:メールフォームを悪用した不正アクセスについて

この記事を書いた「ブルー」です。
プログラマー×ブロガー
へなちょこシステムエンジニアが副業ブログで月収10万円を達成。エックスサーバー、SWELL、ラッコキーワードを使った稼げるブログを作る方法を解説します。
非公式マニュアル

この記事が気に入ったら
フォローしてね!

よかったらシェアしてね!
  • URLをコピーしました!
  • URLをコピーしました!
目次