第8回　企業HPの『お問い合わせフォーム』の面倒

目次

お問い合わせフォームと、スパムメール

おそらく、このスパム手法は無くならない

将来、reCAPTCHAも事実上の有料化される？

お問い合わせフォームと、スパムメール

コロナ期以降、日本の法人営業手法で、『お問い合わせフォーム』に営業メールを送付する手法が、目に見えて増えました。あまりにも多用され過ぎて、近頃ではコンタクト率の低下も著しいのですが、他に代替する営業手法も無いことから、まだ暫くは、使用され続けるものと思われます。

さて、この様な背景もあってか、『お問い合わせフォームを使って、スパムメールの踏み台にされる事例が急増している』と、レンタルサーバー会社が注意喚起しています。

エックスサーバー株式会社：問い合わせフォームの自動返信機能を悪用したスパムメール送信と対策について
https://www.xserver.ne.jp/news_detail.php?view_id=15079

手口として下記の通りシンプルですが、効果的ではあります。

１．悪意のあるフィッシングサイトのURLや宣伝広告などを、問い合わせ内容に入力
２．ご連絡先メールアドレスに、無関係な第三者のメールアドレスを入力
３．お問い合わせフォームの自動返信機能で、無関係な第三者へスパムメールが送られる。

ただし対策も定石化されていて、「Google reCAPTCHA」をホームページに組み込むことで、お問い合わせフォームへのロボットで自動入力は”ほぼ”通さなくなります。reCAPTCHA v3だと『横断歩道のある画像をクリックして下さい』や『私はロボットではありません』は出て来ません。(別の理由で、reCAPTCHA v2を推奨するベンダーもいます。）　結果的に、ロボット送信されて来る営業メールも弾きますから、一石二鳥ですね。

おそらく、このスパム手法は無くならない

システム管理要員がいる会社でも、ホームページ運用は、総務部や営業部にて保管している所が多数派です。さらに、ベンダーに発注しホームページを作って貰った後は『ほったらかし』の会社も珍しくありません。上記で紹介したスパムメールの件も含め、『セキュリティ的に危ない、よく見るほったらかし』は、以下の３点です。

・reCAPTCHAは組み込み、スパム対策はしているもの、Ver.1やVer.2のまま変更してない。
・WordPressでホームページを作ってから、PHPのバージョンを一度もアップしてない。
・WordPressやプラグインの自動アップデートを切っているのに、人間がアップデートボタンを押さず放置している。

将来、reCAPTCHAも事実上の有料化される？

WordPressの定番お問い合わせフォームプラグインであるContact Form7によると、Google社のreCAPTCHAは、将来的に無料で利用するのは厳しそうです。
https://contactform7.com/ja/2025/02/10/our-future-plans-for-captchas/

上記の移行に伴い、管理されている企業ホームページでは、無料で使えるCloudflareに移行するケースが多くなると、弊社でも予想しています。
https://www.cloudflare.com/ja-jp/application-services/products/turnstile/

ただし、放置された企業ホームページだと、知らない間にGoogle reCAPTCHAの機能が切れている、なんて未来がありそうで、憂鬱です。余談ですが、Googleドメインの事業売却の時もそうでしたが、Googleで難民になってCloudflareに移行するのがパターンなのかもしれませんね。