Blog
Web サイト運用・セキュリティ対策
問い合わせのフォームのスパム対策｜広告費用を最適化する実践ガイド

問い合わせのフォームのスパム対策｜広告費用を最適化する実践ガイド

Yukie

Web サイト運用・セキュリティ対策 | 2025年6月12日

企業が開設しているWebサイトに設置されている問い合わせフォームに届くメールには大量のスパムメールも含まれます。スパムメールとは、さまざまな危険性をはらんだ迷惑メールのことです。そこで、スパムメールが送信される仕組みとその危険性、また対策法について解説します。

Table of Contents

問い合わせフォームにスパムメールが届く原因

問い合わせフォームは送信側がメールソフトを立ち上げる必要がなく、場合によってはメールアドレスがなくても送れるので、通常のメール送信よりも利用のハードルが低く、多くの声を収集しやすいです。一方で迷惑メールが大量に送り付けられるリスクも常にあります。

受け取り側が望まないメールのことを「迷惑メール」と総称しますが、そのなかでも大量に送りつけられるものを「スパムメール」といいます。

スパムメールを送るのは自動的に一定のタスクを実行する「ボット（Bot）」とよばれるプログラムであることが多く、サイトのhtmlファイル名などから問い合わせフォームを見つけると、機械的にスパムメールを送り付けます。

フォームに入力された情報は、いったん暗号化されてから運営側のサーバーのプログラムでメールの形に整えられ、担当者のメールボックスに届きます。企業では通常、自社のメールアドレスに直接送信されるメールに対しては迷惑メール対策を行っていることがほとんどですが、問い合わせフォームのメール通知は運営側のサーバーが生成しているため、自社のドメインとなります。そのため通常の対策では検知することはできません。

問い合わせフォームにスパムメールが届くことによる影響

ウイルス感染のおそれがある

メールに記載してあるURLのクリックや添付ファイルの展開で感染することが多いですが、メールを開くだけで感染してしまう事例もあります。ひとたび感染すると顧客情報や機密情報の漏洩、端末の乗っ取りなどに遭い業務に多大な支障が生じます。

サイトや企業の評価が下がる

前述したように最終的には会社のドメインを有したメールであるため、検索エンジンなどがそのドメインを検知すると、サイト自体が危険だと認識されてしまい検索の上位に表示されなくなります。トラフィックの獲得に多大な影響が出るだけでなく、いったん評価が下がると、元に戻すのは困難です。

スパムメールが届いたら：開かずに削除が原則

不審なメールは開封せずに削除することが原則なのは、通常の迷惑メールと同じです。ただし、怪しいメールをすべて排除しようとするあまり、ユーザーからの本物の問い合わせを誤って削除してしまうリスクがあります。

もしスパムメールを開封してしまった場合、すぐにネットワークから遮断するようにしてください。感染したパソコンが、さらにウイルスを拡散する2次被害を防ぐためにも、すぐにネットワークから隔離することが基本です。具体的には、有線LANを引き抜いたり、Wi-Fiを切ったりすることです。

スパムメールの見分け方

企業の問い合わせフォームを通じて届くスパムメールは、送信元アドレスが自社のものに設定されているため、通常のスパムフィルターでは検知が難しい場合があります。そのため、メールの内容やヘッダー情報を注意深く確認することが重要です。

スパムメールの特徴として、日本語が不自然、漢字のフォントが日本のものではない、文字化けがある、などが挙げられます。また、本文にURLが記載されクリックを誘導している、個人情報やパスワードを要求している場合も注意が必要です。

これらのポイントを総合的に判断し、スパムメールを見分けることが重要です。また、フォーム自体にスパム対策を施すことも効果的です。

スパムメールが届かないようにするための対策

前述したように届いてしまうと判別が困難なので、そもそも届かないように対策することが重要です。しかし、あまりに堅牢に対策してしまうと、コピー&ペーストができないなど肝心の「本物」のユーザーの利便性を損なってしまうので、バランスをとるのが大変難しいのも事実です。ここでは、いくつかの対処法のなかから代表的な4種類を解説します。

reCAPTCHAを導入する

スパムメール対策としてGoogleで開発されたreCAPTCHAを設置すると効果的です。サイトにログインする場合に利用されることが多く、認知度が高い無料のセキュリティサービスです。reCAPTCHAはユーザーが人間かボットかを判断するので、ボットが生成したものを遮断するのに有効です。

一方で、reCAPTCHAは人間が作動していてもボットと判定することもあり、逆に高度なボットではすり抜けられることもあるため万能ではないことに注意する必要があります。

フォームに必須項目や確認画面を設ける

問い合わせフォーム内に氏名・電話番号などの入力欄を設置する方法があります。さらに確認画面などのチェックボックスを加えると、ボットでは対応が難しくなり、スパムメールが簡単に送信できなくなります。

特定の用語やURLの入力を禁止する

サイトをWordPressで作成している企業も多いですが、WordPressには「禁止用語リスト」という既存の機能があります。これに今まで送られていたスパムメールに含まれていた単語やIPアドレスを登録しておきます。そうすると問い合わせフォームから、その単語やIPアドレスが含まれたメールが送信できなくなります。ただし、本物のユーザーが禁止用語リストに登録された単語を使ってしまうと、その問い合わせを受け取れなくなってしまうため、単語を登録する際には細心の注意が必要です。

またメール本文にURLの入力ができないようにするプラグインを設定することで、URLが貼られたメールの送信を防ぐことができます。

IPやドメインを制限する

すでにスパムメールを受信しているときに、IPやドメインをログから特定し、受信拒否設定を行うのも基本的な対策です。一方で、攻撃者側がアドレスやドメインを次々と変えて送ってくる可能性もあり、万全の対策であるとは言えません。

スパムメール対策にはCHEQ Form Guard

スパムメールには、開封しないと判断ができないものもあります。一方でメールを開封してしまうとウイルス感染のリスクもあるのが難しいところです。そういう場合は対策ツールの活用がおすすめです。

CHEQ は、全てのボットや不正ユーザーを可視化します。全ユーザーに対して、2000項目以上のサイバーセキュリティチェックを行うことで、悪意のあるトラフィックを自動的にブロックします。CHEQ Form Guardにより、悪意のあるユーザーからの送信を担当者に届く前に即座にブロックしてくれるので、不正コンバージョンを防いだりスパムメール対策に時間をかけることなく、企業の評価を守りながら成果をあげていくことができます。