私が運営する4つのブログでは、お問い合わせ機能は、WordPressプラグインのContact Form 7を使っています。
エックスサーバーからメールフォームを悪用した不正アクセス対策として、Contact Form 7を使っている場合のreCAPTCHA導入方法の案内がきていました。
GWで気持ちに余裕もあるので、reCAPTCHAを導入について調べたので、備忘録を兼ねて説明します。
メールフォームの悪用と対策
メールフォームの悪用と対策について説明します。
メールフォームの悪用
メールフォームの悪用とは、次のようにして自動返信機能を利用して無関係な第三者にスパムメールを送信する攻撃のことです。
- お問合せの内容に、フィッシングサイトのURLや宣伝広告を入れる。
- 連絡先のメールに無関係な第三者メールアドレスを入力して送信する。
- お問合せ機能のメール自動返信機能により無関係な第三者にスパムメールを送信する。
メールフォーム悪用対策
メールフォームの悪用対策には、次の2つの方法があります。
- reCAPTCHA導入
- 自動返信機能の無効化
reCAPTCHAとは
reCAPTCHAとはGoogleが無料で提供しているセキュリティ対策ツールです。
reCAPTCHAを導入することで、
- 人間からのアクセスかロボットからのアクセスか判別する。
- ロボットからのアクセスに対して何らかのアクションを要求する。
メールフォームの悪用を含む不正アクセスは、ロボットによるアクセスが多いため、reCAPTCHAの導入は効果的な対策となるようです。
reCAPTCHAを導入する
reCAPTCHAを導入します。
GoogleのreCAPTCHAのページ(こちら)にアクセスします。
図1 reCAPTCHAの概要のページ
左上のGoogle Cloudのロゴに気づき、
Google Cloudは使っていないけれど、reCAPTCHAは、Google Cloudの一部なのか?
と思いつつ、
上図一番上の「reCAPTCHAを使ってウェブサイトを今すぐ保護しましょう。」をクリックすると、下図のreCAPTCHAの登録画面になります。
図2 reCAPTCHAの登録画面
「最大10,000 件/月まで料金なしで評価」、「クレジットカードは不要です」とあるので、よくある登録して最初は無料のパターンかと思いつつ、登録内容をみていきます。
reCAPTCHAの設定:サイトの登録
reCAPTCHAを使い始めるための設定は簡単そうです。
登録が簡単なのはありがたいのですが、料金についてよく調べてみたほうがよさそうだと思いはじめました。
reCAPTCHAに登録するサイトの情報は、次の3つで簡単にできます。
- ラベル:サイトを容易に識別できるラベル(ブログのタイトルやURLなど)
- reCAPTCHA タイプ:スコアベース(v3)
- ドメイン:reCAPTCHAを導入するサイトのドメイン
Google Cloudは使ったことがないので、Google Cloud Platformが自動的に作成されています。
と、ここで中断することにしました。
Google Cloudは使っていませんし、言葉を聞いたことがある程度だったので、現時点でGoogle Cloudがどのようなものか知っておいたほうがよいと判断したからです。
私が運営するブログでも以前からスパムメールがきます。
最近は、内容が変わってきているなと思い、エックスサーバーからのお知らせメールもあったので、reCAPTCHA導入するかと思ったのですが・・・。
参考リンク
参考にしたエックスサーバーのreCAPTCHA導入に関するリンクは以下の通りです。
まとめ
私が運営する4つのブログでは、お問い合わせ機能は、WordPressプラグインのContact Form 7を使っています。
エックスサーバーからメールフォームを悪用した不正アクセス対策として、Contact Form 7を使っている場合のreCAPTCHA導入方法の案内がきていました。
reCAPTCHAを導入について、備忘録を兼ねて以下の項目で説明しました。
- メールフォームの悪用と対策
- メールフォームの悪用
- メールフォーム悪用対策
- reCAPTCHAとは
- reCAPTCHAを導入する
- reCAPTCHAの設定:サイトの登録
- 参考リンク
