企業のWebサイトから送信されるスパム

2019年8月23日

スパムメールを送る者たちは、フィルターをすり抜けてスパムメールを送り届けるための新しい方法を常に探しています。彼らが目指すのは、スパムフィルターが「レピュテーションが良い」と判断する送信元からメールが送られたかのように見せかけることです。具体的に言うと、たとえばあなたの会社のアドレスやWebサイトを通してスパムメールを送信しようとしているのです。このタイプの攻撃は、かなり一般的なものとなりつつあります。

近年は、どの企業も、サービス向上や顧客の維持などの目的で、顧客から評価や意見を得ようとしています。自社Webサイトにフィードバック用のフォームを設置するのが一般的で、複数のフォームを用意している場合もあります。人々はそうしたフォームを通して質問を送ったり、何らかの提案をしたり、企業のイベントに登録したり、ニュースレターを定期購読したり、さまざまな最新情報を受け取ったりします。一方で、この仕組みを悪用し、まったく無関係の人々や企業にスパムメールを送信しようとする人々がいます。

企業のWebサイトからスパムが送信される仕組み

仕組みはかなり単純です。オンラインサービスを使用したり、メーリングリストに登録したり、Webフォームから質問を送ったりするには、大抵はまず新規登録しなければなりません。つまり、最低でも名前とメールアドレスを入力する必要があります。登録リクエストを送信すると、企業側から確認メールが送られてきます。スパム送信者は、この登録確認のメールに、自分たちが拡散させたい情報を追加する方法を編み出しました。

その方法とは、次のようなものです。企業サイトの登録フォームで、登録アドレスとしてスパムの送り先となるメールアドレスを入力し、名前フィールドには自分たちが宣伝したい内容を入力します。たとえば、名前フィールドに「薄鋼板を特別価格で販売中です。http://sheetiron.suをご覧ください」と入れたとします。この登録システムが送る確認メッセージは、次のように表示されます。「“薄鋼板を特別価格で販売中です。http://sheetiron.suをご覧ください”様、登録をお申し込みいただきありがとうございます。登録を完了するには…」。建設会社のWebサイトの登録フォームでこの技を使ったとしたら、効果があるかもしれません。

フィードバックフォーム悪用の進化

スパム送信者が新たに悪用しはじめたこの仕組みは、実はスパムに対抗する手段として作られたものです。インターネット黎明期には、Webサイトのフィードバック用ツールと言えば、誰でもメッセージを残せるゲストブックのようなものでした。いたずら好きの人々やスパム送信者がこれを悪用し始め、ゲストブックはカオス状態になってしまいました。そこでWebサイト側は、登録をしないと書き込みができないようにしました。これに対し、実在しないメールアドレスを使って自動的に利用者登録するプログラムを使う人々が現れ、スパムコンテンツの書き込みは続きました。

そのため、登録の際にはメールアドレスの確認手続きが要求されるようになりました。そして今やこのシステムが悪用され、スパムメールの送信に使われるようになってしまったのです。スパムメールが送られるとき、Webサイトのオーナーである企業のメールアカウントには何も送られてきません。登録プロセス中に収集される利用者データは、データベースに登録されて終わりです。そしてスパムメールの送り先となった人のもとには、このようなメッセージが届きます。

名前フィールドに入力されたスパムメッセージの例(「Pretty Helena waiting for you <中略> flazio.com」「Hi, you can withdraw your <中略> 61539」の部分)

信用ある企業のWebサイトからスパムを送信することのメリット

インターネットを通じて新規顧客を獲得し、既存の顧客もつなぎ止めておきたいと考える企業は、自社のWebサイトに気を配っているものです。Webサイトのデザイン、コンテンツ、ユーザビリティは重要ですし、サイトの評価も注意深くチェックしています。しかし、高い評価を得ているということは、攻撃者を引きつける要因にもなります。

信頼できるWebサイトから送信されたメールであれば、スパム対策フィルターを容易にすり抜けることができます。そもそも、こういったメールは信用のある企業から送信された公式のメールです。メールのテクニカルヘッダーはどこを取っても完全に正規のものですし、このタイプのメールの中で実際にスパムコンテンツである部分(フィルターが反応する部分)は比較的少量です。スパムのレーティングはさまざまな要素に基づいて行われるので、メールの全体的な信ぴょう性が高ければフィルターに引っかかりません。

このスパム送信方法は最近、非常によく使われるようになっています。しかも、フィードバックフォームを通した広告の配信が、サービスとして提供されることさえあります。

問い合わせフォームを通じたスパム配信のサービスを売り込むメール

自社Webサイトから送られたスパムは企業にとって脅威となる

自社のWebサイトのフォームからスパムメールが送られるという事態は、企業の評判と顧客の安全を危険にさらすことになります。まず、迷惑な広告が含まれている登録確認メールがあなたの会社の名前で送信されれば、そのメールを受け取った人(登録フォームに入力した記憶がない人)は、あなたの会社がそのスパムを送信したと考えるでしょう。

次に、名前フィールドにフィッシングサイトへのリンクが入力されている場合、メールの受信者が詐欺的なWebサイトに誘導されることとなり、会社の評判はさらに傷つけられます。誘導先が悪意あるコードが仕掛けられたWebサイトだったならば、さらに悪い結果が待ち受けていることでしょう。

時として、特定企業の名前を意図的に悪用して評判を落とそうとする人もいます。たとえば、あなたの会社が実施しているように見せかけた架空のプロモーションや懸賞に関するメールが、顧客宛に配信されるかもしれません。正規の企業の正規のWebサイトからそのようななりすましメッセージが送られてきたら、信じる人は少なくないでしょう。

Webサイトをスパム送信ツールとして悪用されないようにするには

まずは、自社のWebサイトのフィードバックフォームがどのように機能するかを把握するために、簡単なテストの実施をお勧めします。テスト対象のWebフォームに、自分のメールアドレスを登録します。名前フィールドには、「現在ガレージを販売中です。」という文面と、Webサイトのアドレス、電話番号を入力してください。登録が済んだら、自分のメールボックスに実際にどのようなメールが届いているのか確認します。

「“現在ガレージを販売中です。…”様」から始まるメールを受信した場合は、Webサイトの管理責任者に連絡を取りましょう。名前フィールドに数字、セミコロン、「http://」のような記号や文字列が入力されてもそのまま通ってしまっている旨を伝え、氏名として有効でない文字や記号が名前フィールドに入力されたらエラーとなるような入力チェックの実装を検討してもらってください。

そして、他にも不備があった場合に備えて、Webサイトに脆弱性がないかの精査を検討することをお勧めします。