現在500万サイト以上で使われているContact Form 7は、WordPressで簡単に問い合わせフォームが設置できる非常に人気のプラグインです。
しかしその人気ゆえに、Contact Form 7はスパム攻撃の対象として狙われやすいことをご存知でしょうか？

スパムメールは邪魔だけど、面倒なので特に対策せず放置してしまっている…という方は注意が必要です。
セキュリティ上の脆弱性を放置し、Contact Form 7プラグインを最新にアップデートしていない、reCAPTCHAを導入していない、などスパム対策を軽くみた結果、重大なインシデントに繋がる事例が発生することも。

この記事では、実際にContact Form 7の使用中に発生した3つの重大なインシデントを紹介し、それぞれのケースから学べる対策や予防策について解説します。
Contact Form 7 でフォームを運用中の方、またはこれから制作予定の方は、この記事を読んでスパム対策に取り組んでいただけたら幸いです。

事例1：フォームを悪用したスパム送信

自動化されたスパム攻撃によって、フォームを経由して大量のスパムメールが第三者に送信される事例があります。
スパムメールが大量に送信されると、一時的にメールサーバーが停止されることがあり、業務上必要なメールが送信できなくなるなど、運営に支障をきたす可能性があります。

2024年1月17日、ValueDomainでは、Contact Form 7でスパム攻撃が増加したことを受けて、注意喚起をしています。

この度、WordPressプラグイン「Contact Form 7」におきまして、お客様が作成されたフォームに関連するスパム攻撃の増加が確認されたことをお知らせいたします。

具体的には、「Contact Form 7」を利用したフォームが不正アクセスによってスパムメールが送信される事例が報告されております。

スパムメール送信により、お客様のアカウントで大量のスパムメールが処理される可能性があります。その結果、メール送信数の制限がかかり、必要なメールの送信が制約される可能性もございます。

Contact Form 7におけるスパム攻撃について | お知らせ – バリュードメイン （2024.01.17）

同様にカラフルボックスやロリポップでも大量のスパムメールについての注意を促しています。

「Contact Form 7」で作成されたフォームがボットによる攻撃を受け、お客様が設定したメールアドレスおよび攻撃時に入力されたメールアドレス宛に大量のスパムメールが送信される事例が報告されています。

Contact Form 7におけるスパム攻撃について | お知らせ （2024.01.17）

お問い合わせフォームとしてご利用いただけるWordPressのプラグイン「Contact Form 7」が悪用されて、第三者によりスパムメールの不正配信が行われているケースが確認されております。

【注意喚起】Contact Form 7への攻撃、悪用が発生しています – ロリポップ！レンタルサーバー（2023.06.16）

さくらインターネットでは、問い合わせフォームの自動返信機能を悪用してスパムメールを送信する攻撃が増加していると注意喚起しています。

ホームページのお問合せフォームに、問い合わせ送信後の「お問い合わせありがとうございました」という自動返信を行っているフォームを設置したサイトが攻撃対象となっております。

WordPressをご利用の場合、フォームプラグインのContact Form 7が対象となるケースが多く見られますが、それ以外のフォームプラグイン、プログラムでも被害が出ています。

自動返信機能があればWordPressに限らず全てのフォームで攻撃対象となりますのでご注意ください。

お問合せフォームを悪用する攻撃増加に関する注意喚起 | さくらインターネット （2020.12.08）

自動返信メールの仕組みを悪用され、スパム送信者に選ばれてしまったフォームが「スパムの送信元」であると認識されてしまうため、フォームを設置しているWebサイトのドメインがブラックリストに登録されてしまったり、サーバー側からの措置としてフォームを停止されてしまったりすることがあります。

スパムを送信した「加害者」として認識されるとWebサイトの信頼性が著しく低下し、メールを送信しても迷惑メールフォルダに格納されて確認してもらえない可能性があり、運用に問題が発生することも考えられます。

事例2：ボットによる大量スパム投稿

ボットによって、お問い合わせフォームを通じて大量のスパムメールが送られてくる事例があります。

概要としては

• 突然毎日約300件ものスパムメールが送られてきている。
• お客様からの重要なお問合せを把握できず業務に支障が出て困っている。

このため速やかに問題解決をしてくれないか、というご相談でした。

毎日300件以上押し寄せるスパムメールにどう対処したか。 / 札幌・東京のWebコンサルティング・システム開発会社 /株式会社デジタルファーム （2024.05.07）

このように1日300件以上のスパムメールに悩まされるサイトもあります。

大量のスパムメールが送られてくると、メールボックスを見てみても、どれがスパムメールなのか区別しにくく、重要なメールが埋もれてしまう可能性があります。
「大切なユーザーからのメールに対応できない」といった状況を防ぐために、早めの対処が必要です。

また、サーバーの負荷が増え、メールが送信できなくなることも。

お客様のアカウントにて、大量のスパムメールの送信が確認された場合、弊社にてメール送信数の制限を実施する場合がございます。その場合、本来必要なメールが送信できなくなるなどの問題が発生する場合がございます。

Contact Form 7 にて作成されたフォームに対するスパム攻撃について | mixhost ニュース （2023.06.16）

このようにメール送信数の制限を実施するサーバーもあります。

自動化されたスパムボットによるスパムメール送信、SQLインジェクション、クロスサイトスクリプティング（XSS）などがあります。これらはウェブサイトのセキュリティを脅かすだけでなく、重要なデータの漏洩や機能不全を引き起こす可能性があります。

Contact Form 7の不正アクセスについて | WordPress 修復 ハッキング 改ざん マルウェア | サイト修復ならWordPress救急隊 （2024.01.18）

スパムメールによって、重要なデータの漏洩や機能不全を引き起こす可能性も指摘されています。

「スパムが送られてくるだけ」と放置してしまう人も多いですが、業務に支障をきたす可能性もあるため、早めの対処が必要です。

事例3：非常に危険な脆弱性報告あり

Contact Form 7には、これまで数多くの脆弱性が報告されています。

2020年12月には、7.3.1以下のバージョンで、スクリプトファイルを実行できる可能性がある脆弱性が見つかりました。サイトが改ざんされる可能性があり、早めの対処が必要となります。

ホストサーバー内でスクリプトファイルを実行できる可能性がある脆弱性が見つかりました。
12月17日に、パッチが適応されたバージョン7.3.2がリリースされているので、利用されている方は、急ぎアップデートしてください。

WordPressの有名プラグイン「Contact form 7」に危険な脆弱性　急ぎアップデートを | サイバーセキュリティ総研（2020.12.18）

また、無制限にファイルをアップロードできてしまう脆弱性もありました。この脆弱性を突き大量ファイルをアップロードされてしまい、サーバーがダウンしたり、サービスが停止したりする可能性があります。

WordPress 用 contact-form-7 (別名 Contact Form 7) プラグインには、危険なタイプのファイルの無制限アップロードに関する脆弱性が存在します。

JVNDB-2020-014846 – JVN iPedia – 脆弱性対策情報データベース（2021.09.02）

これらの事例以外にも、バージョン5.8.４では悪意のあるファイルをサーバーに配置してセキュリティを侵害する脆弱性が修正されています。

この脆弱性の種類は「Arbitrary File Upload（任意のファイルのアップロード）」です。
攻撃者は、この脆弱性を悪用して、ウェブサイトに任意のファイルをアップロードすることができます。
これにより、攻撃者は悪意のあるファイルをサーバーに配置し、ウェブサイトのセキュリティを侵害する可能性があります。

【Plugin】『Contact Form 7』(versions 5.8.3 以下)　Arbitrary File Uploadの脆弱性 | WordPress脆弱性情報 WPセキュリティ（2021.09.02）

さらに、バージョン5.9.2では、個人情報の漏えいの可能性がある反射型クロスサイトスクリプティング脆弱性が修正されました。

Contact Form 7はWordPress用のフォームプラグインです。Contact Form 7 5.9.2では、反射型クロスサイトスクリプティング脆弱性が修正されているため、直ちにバージョン5.9.2への更新が必要です。

Contact Form 7 5.9.2が公開 – FAMLog（2024.03.15）

このようにさまざまな脆弱性が報告されています。プラグインをアップデートしないと、これらの脆弱性を保有したままインターネット上に公開していることになり、非常にリスクの高い状況といえます。

スパム・セキュリティ対策は必須

このような事例が起こらないようにするには、Contact Form 7に限らずですが、フォームのスパム対策を行う必要があります。
ここでは主なスパム対策を３つご紹介します。

以下のページでは、スパム対策について詳しく解説していますのでぜひ参考にしてください。
▼Pivot-Formのスパム対策はこちら

プロが教えるWebフォームのスパム対策。すぐに使える実践的スパム対策ガイド

ウェブ担当者の皆さん、お客様からの問い合わせをスパムがこばんでいませんか？スパム対策は単に「迷惑メールの阻止」だけに留まりません。顧客の大切な声を誤って削除するリスク、セキュリティトラブルへの対応など…

pivot-form.com

reCAPTCHAを利用する

reCAPTCHAとは、ボットによるスパム攻撃を防ぐサービスです。Googleが無料で提供しています。
reCAPTCHAは現在以下のバージョンが公開されています。

• V1：歪んだテキストを読み、入力する。（非推奨）
• V2：「私はロボットではありません」にチェックする。追加の画像認識テストあり。
• V2invisible：不正が疑われる場合は画像認識テストあり。
• V3：ユーザーのページ内での行動をスコアとして算出してボットかどうかを判断する。

V1は視覚障碍者には利用しにくいため、現在は非推奨となっています。
V3は最も新しいバージョンで、ユーザーにチェックをつけるなどの行動を求める必要がないシステムです。システムで自動的にボットかどうかを判断してくれます。

Contact Form 7にreCAPTCHAを設定するには、インテグレーションを利用します。

手順は以下のとおりです。

以上で、Contact Form 7へのreCAPTCHA v3の設定は完了です。
このように簡単に設定できますので、ボットによる不正なフォーム送信を遮断するため、Contact Form 7を使用するときはreCAPTCHAを忘れずに設定しておきましょう。

Contact Form 7の公式ページでも画面キャプチャ付きでくわしく解説しています。

▼（参考）Contact Form 7にreCAPTCHAを設定する方法

reCAPTCHA (v3) | Contact Form 7 [日本語]

チェックボックスを設置する

フォームの「送信」ボタンの前にチェックボックスを設置し、チェックを入れなければ送信できない仕様にすることでスパムメールを阻止します。スパムメールは自動化されたボットによる送信が多いため、チェックボックスを設置するとフォームを記入しているのが人間であることを確認でき、スパムボットの自動送信を防げます。
ただし、スパムメールはさまざまな方法で送信されるため、チェックボックスだけでは完全な対策にはなりません。

Contact Form 7のフォームでは、「承認確認」タグを挿入することでチェックボックスを入れられます。
チェックボックスの内容は、たとえば利用規約やプライバシーポリシーへの同意を促すものや、単純に「内容を確認のうえチェックを入れてください」といった内容でも問題ありません。

プラグインのアップデート

Contact Form 7の脆弱性を修正するには、プラグインのアップデートが必要です。古いバージョンのプラグインは攻撃者に悪用される可能性が高いため、最新バージョンにアップデートすることでセキュリティを強化できます。Contact Form 7のアップデートがある場合、WordPressのプラグイン管理画面で通知が表示されます。「更新」を選択すればすぐにアップデートできますので、できるだけ早めに対応しましょう。

※プラグインのアップデートは、事前にバックアップを作成したり、テスト環境を構築しておくなどしておいてください

まとめ

Contact Form 7は、WordPressに簡単にフォームを設置できる人気のプラグインですが、その人気ゆえに狙われやすく、スパム攻撃による重大なインシデントが発生しているのも事実です。
スパム攻撃も進化しているので、運用していく中でスパム対策も含めてしっかりメンテナンスする必要があります。

スパム対策はフォーム導入後でも行えますが、そのあとのメンテナンスも考慮するとサイトを制作する時点である程度検討しておかなければなりません。

スパム対策を考慮したフォームの運用に不安がある方には、有料のフォームツールがおすすめです。スパム対策がしっかりと施されていて、導入後もサポートがあるフォームツールならば、メンテナンスはおまかせで安心して使い続けられます。

Pivot-Formは、スパム対策も含めてセキュリティは万全です。クラウドサービスではなく自社サーバーで構築するツールですので、顧客データを外部に出すことなく安全に自社で管理できるため、情報漏洩のリスクも低減できます。導入後のサポートもあり、セキュリティ面・運用面でも安心してご利用いただけます。

スパム対策は難しそうという方は、Pivot-Formをぜひ検討してみてください。