Webフォーム作成の記事
ARTICLEメールフォームのセキュリティリスクは?担当者が知るべき対策方法
メールフォームの脆弱性をそのままにしておくと、サイバー攻撃による情報漏洩のリスクが高まります。まず大切なのは、サイバー攻撃の種類とその対策方法を知ることです。それぞれ解説しますので、セキュリティ対策の参考にしてください。
メールフォームへのサイバー攻撃のリスク
メールフォームのセキュリティを怠ると、サイバー攻撃のリスクが高まります。サイバー攻撃を受けると、どのような悪影響があるのでしょうか?
企業のイメージダウン
悪意を持った第三者によるサイバー攻撃で、企業の持つ個人情報が漏洩した、という事件が後を絶ちません。そうしたニュースを目にしたとき、企業に対するユーザーの信頼度は低下していきます。
預かった個人情報を管理できない企業・個人情報を大切に扱えない企業と認識され、築いてきた信頼を失うことになるのです。セキュリティ対策は、企業の信頼を維持・向上させるために欠かせないと言えます。
機会損失
一度失った信頼は、そう簡単に取り戻せるものではありません。しかも、インターネット上には、悪評がずっと残り続けます。すると、情報漏洩自体は過去のことで、現在は十分なセキュリティ対策をしていても、サイバー攻撃で情報漏洩させた企業と言われ続けるのです。
結果、目に見えない機会損失が起こる可能性があります。過去の情報漏洩についての噂を知り、利用を控えるユーザーが一定数発生することもあるのです。
多額のコスト
サイバー攻撃を受け、情報漏洩などの被害が出ると、目に見えない信頼や機会を失うだけではなく、多額のコストもかかります。主なコストは下記の通りです。
- 被害状況の調査費用
- お問い合わせ対応・謝罪など顧客対応にかかる費用
- 損害賠償請求にかかる費用
- システムの修復にかかる費用
また、これまでセキュリティ対策が十分ではなかった場合、新たにセキュリティ対策をするための費用もかかります。対策をしていた場合でも、サイバー攻撃に対する脆弱性があったわけですから、その対策にかかる費用が必要です。
セキュリティ対策が不十分だと、想定外のコストがかかってしまい、経営を圧迫する可能性があります。
クラウドメールのセキュリティは大丈夫?気をつけるべきポイントとは
メールフォームの脆弱性を狙った攻撃例
サイバー攻撃には様々なタイプがあります。ここでは、メールフォームの脆弱性を狙った、SQLインジェクション・クロスサイトスクリプティング・迷惑メールについて解説します。
SQLインジェクション
SQLインジェクションは、データベースを動かすために使う『SQL言語』を注入(=インジェクション)することで、アプリケーションに本来とは違う動作をさせるサイバー攻撃です。
メールフォームに入力された情報は、サーバーで受け取られてデータベースに登録されます。この仕組みを利用し、メールフォームに『SQL言語』を入力すると、自動的に『SQL言語』がデータベースに登録されてしまうのです。
するとデータベースは本来とは異なるエラーを起こしてしまい、結果、個人情報の漏洩につながってしまいます。
クロスサイトスクリプティング
クロスサイトスクリプティングは、ホームページを操作することで、本来とは違う動作をさせるサイバー攻撃です。サーバーに入ることなく、ホームページの見た目も動作も変えてしまいます。意図していない場所にJavaScriptを実行するコードを埋め込んで操作してしまう攻撃で、PHPを使用している際に真っ先に対応が必要といえます。
メールフォームに、スクリプトと呼ばれるプログラムを送信することで行われる攻撃です。そのため、対策にはスクリプトを単なる文字列に変換し無害化する方法があります。
迷惑メール
メールフォームを通して、迷惑メールが送信されることがあります。この場合、最も有効な対策は、迷惑メールを送信する際の手間を増やすことです。手間が増えれば、迷惑メールの送信を自動化できなくなるので、迷惑メールが減ります。
確認画面の設置や画像認証をメールフォームに取り入れて、自動で送信できない仕組みにしましょう。
メールフォームのセキュリティリスクは?担当者が知るべき対策方法
主なメールフォームサービスのセキュリティについて
主なフリーのメールフォームサービスでは、どのようなセキュリティ対策が取られているのでしょうか?
代表的なGoogleとWordPressのセキュリティについて紹介します。
Googleの場合
Googleは提供している全てのサービスで、世界最高水準といわれるセキュリティ対策を行っています。多くのユーザーが利用するサービスだからこその対策が行われているのです。Googleでの主な対策には、下記があります。
- 送信データの暗号化
- 常時モニター
- 迷惑メールの99%以上をブロック
また、Googleでは、インターネット全体を安全な場所にする取り組みも行っています。Googleで取り入れているセキュリティ技術を他社と共有することで、インターネットに関わる全ての企業の技術水準向上を目指しているのです。
業界全体の技術が向上すれば、それだけ安心してインターネットを利用できる環境が整う、という考えから継続的に技術の共有が行われています。
Googleフォームのセキュリティは万全?サポートや自己対策法
WordPressの場合
WordPressでは、サイバー攻撃がつけいる隙をなくすために、アップデートでプラグインのセキュリティホールを改善しています。セキュリティホールとはコンピュータソフトウェアの欠陥のことです。しかし、WordPressの代表的なメールフォームのプラグインは、代表的なセキュリティ対策であるSSLに対応していません。
その理由は、SSLに対応させることで生じるプラグインの脆弱性を懸念しているからです。セキュリティ対策のためのSSLが、本来プラグインに備わっている動作処理を邪魔してしまい、サイバー攻撃に弱くなってしまう可能性があります。
そのため、WordPressのメールフォームではSSLに対応していませんし、その状態で使用するのが適切と判断されているのです。
SSL暗号化による通信への対策方法
代表的なセキュリティ対策に、SSL暗号化があります。SSLとはどのような技術なのでしょうか。特徴と電子証明について解説します。
SSLとは
SSLは「Secure Socket Layer」の略で、メールフォームに入力した情報をサーバーに送信するとき、暗号化して送信する技術です。ホームページからサーバーまでの間で、情報漏洩が起こるのを予防します。
SSLに対応しているホームページを訪問すると、サーバーからユーザーへ『公開鍵』が送られます。入力した情報は、『公開鍵』を使って暗号化されるのです。暗号化された情報がサーバーに届くと、今度は暗号を解読できる情報に復元します。この時使われるのが『秘密鍵』です。
SSLに対応しているかどうかは、URLを見るとすぐに分かります。通常のホームページが『http://***』で始まるのに対し、SSLに対応しているホームページやメールフォームは『https://***』で始まるからです。
電子証明書
電子証明書は、入力された情報を暗号化したり、暗号を元の形に戻したりするのに、重要な役割を果たします。電子証明書の種類は、下記の3つです。
- ドメイン認証
- 企業実在認証
- Extended Validation(EVドメイン認証)
どれも、サーバー証明書の所有者がドメインの使用権の所有を認証します。違いは、証明書発行時の照会の厳密さです。『ドメイン認証<企業実在認証<Extended Validation(EVドメイン認証)』の順に照会が厳しくなります。
レンタルサーバーで提供される共用SSLサービスは、レンタルサーバーの事業者が取得した電子証明書を共有する仕組みです。
そのため、メールフォームに共用SSLを使うと、URLのドメインがレンタルサーバーのものに変わります。安心して利用してもらうために、共用SSLサービス利用のアナウンスをするとよいでしょう。
フォームで「保護されていません」と表示される!SSLや主な対策について
その他のセキュリティ対策方法
セキュリティ対策には、他にも、ファイアウォール・WAF・IPSがあります。それぞれの仕組みについて知り、メールフォームのセキュリティ対策に活かしましょう。
フォームのセキュリティについて考えよう。主なリスクや対策とは
ファイアウォール
ファイアウォールは直訳すると防火壁という意味です。インターネット通信の中で侵入できそうな場所を防火壁で閉じ、サイバー攻撃を受けないようにするセキュリティ対策の方法を指します。
インターネット通信では、通り道を『ポート』、伝達方法を『プロトコル』といいます。『ポート』と『プロトコル』のルールに則って、情報の送受信が行われるのです。
ただし、送受信のために全ての『ポート』と『プロトコル』が使われるわけではありません。未使用状態の『ポート』や『プロトコル』を通れなくして、サイバー攻撃に利用されないようにするのがファイアウォールの役割です。
そのため、ファイアウォールを使うことで、通り抜けできそうな『ポート』からサイバー攻撃をしかける、ポートスキャンを予防できます。
WAF
WAFは、通信をリアルタイムで監視して、サイバー攻撃のパターンを見つけると、情報の送受信をストップする仕組みです。通信自体をストップすることで、情報漏洩を防ぎます。
ファイアウォールで侵入経路を閉じたり、IPSで不正な通信を防いだりしても、SQLインジェクションやクロスサイトスクリプティングは防げません。これらのサイバー攻撃に対処するのが、WAFなのです。
WAFは、通常のアクセスと不正アクセスの違いを、過去のデータベースを元に判断します。そのため、開放されているポートに1度だけアクセスするだけでサイバー攻撃ができる、SQLインジェクションやクロスサイトスクリプティングを防げるのです。
IPS
IPSはファイアウォールで防いでいない『ポート』を狙ったサイバー攻撃に対処する方法です。IPSが有効な攻撃に、DoS攻撃があります。DoS攻撃は1秒間に数千回ものアクセスをすることでサーバーに負荷をかけ、アクセスできない状態にしてしまうのです。
IPSでセキュリティ対策をしていると、DoS攻撃を不正なアクセスとリアルタイムで感知します。そして、アクセス元からの通信を遮断するのです。
サイバー攻撃は、通常の通信で使用している『ポート』からも行われます。こうした攻撃にはファイアウォールでは対処できません。そのため、IPSを併用して、セキュリティの抜けができないようにするのです。
添付ファイルには注意が必要
メールフォームでは、添付ファイルに注意が必要です。添付ファイルを送信できるメールフォームもありますが、悪意の第三者によるサイバー攻撃に利用される可能性があります。
そのため、添付ファイルへの対策が十分にできないなら、メールフォームに無理して添付ファイルの送信機能をつける必要はありません。
メールフォームでまずはお問い合わせしてもらい、必要に応じて、その後のやり取りで添付ファイルを送信してもらえばよいのです。
まとめ
メールフォームのセキュリティは、企業の信頼にも関わることです。そのため、万全の対策をしておかなければいけません。SQLインジェクションやクロスサイトスクリプティングといった、サイバー攻撃の特徴を知り、それぞれに対策しましょう。
メールフォームサービスを利用することで、HTMLやCSSがわからなくても簡単にフォームを作ることができるようになります。メールフォームサービスを利用する場合は、そのサービスで行われているセキュリティ対策をチェックしましょう。セキュリティが甘いサービスの利用は避けるのが賢明です。
ユーザーが安心して使えるメールフォームにするために、セキュリティ方法について知り、自社ホームページのメールフォームの対策をしましょう。
メールフォームは設置した方が良い?メリットや作成方法のまとめ
また、簡単に安全なフォーム作成をしたい方には、弊社のマルチデバイス対応のフォームが簡単操作で作成できる Webフォーム作成サービス「SPIRAL®」もおすすめです。問い合わせ・資料請求は無料ですので、まずはお気軽にお問い合わせください。