本稿はConoHa Advent Calender 2022 21日目の記事です。
先日、料金が安く設定が楽とのことでConoHaWINGでレンタルサーバデビューをしました。
試してびっくり。管理画面の案内表記とヘルプページ※1を頼りに、ボタンをぽちぽちすればあっという間に見栄えのするwebサイトが立ち上がります。
その話でも…!と思いましたがせっかくのQiita初投稿、Advent Calender初参加ですので頑張ってもう少し踏み込んで書くことにしました。
※1 https://support.conoha.jp/wing/?btn_id=top_wing
概要
ネットサーフィンしていると良く見かけるお問合せフォーム。サイト訪問者にとって、手軽に問い合わせができる便利な機能です。
そのお問合せフォームを使ってスパムを送信する手法があり、対策を講じないといつの間にか自分が加害者になってしまうかも...
そうならないための対策方法として、
お問合せフォームの送信者が(スパムを送ろうとする)botか、人間か判定するためreCAPCHAを使用する方法がよく紹介されています。
そこに最近、reCAPCHAに替わる判定方法としてTurnstileが登場しました。
お問合せフォームを使ったスパム送信方法に軽く触れつつ、実際にTurnstileをお問合せフォームに実装してみます。
警告
・当記事の検証はスパムの配送を防止の目的遂行とその動作検証を目的としています。
・検証に使用したお問合せフォームは、送信先を自身の所有するメールアドレス以外に送信されないよう設定を変更した上で確認を行っています。他人のwebサイトやメールアドレスを使用し、コンタクトフォームからのメール送信を試す等、迷惑をかける行為は絶対に行わないでください。
お問合せフォームとは
お問合せフォームは用途によってカスタマイズできますが、大まかに以下の3つの項目を入力することになります。
・問い合わせをしている本人の名前
・返信先メールアドレス
・問い合わせ内容
画像: お問合せフォームの例
往々にして"返信先メールアドレス"に入力したメールアドレス宛てに
問い合わせ内容を記載した、お問い合わせを受け付けた旨を知らせるメールが自動で届くわけです。
ここまでは便利な正しい機能の使い方。
スパム配信の仕組み
ここからはお問合せフォームを使ったスパム送信の方法です。
お問合せフォームに入力した、返信先メールアドレス欄には自分のメールアドレスでなくても入力が可能です。
そのまま送信すれば、入力したメールアドレス宛にお問合せ内容が記載されたメールが届きます。
画像: お問合せフォームの悪用例
結果、この仕組みをそのまま使うだけでメールアドレス無しに任意の宛先に好きなだけメールを送ることができるわけです。
スパムメールを送られる側からすれば迷惑話ですね。
ちなみにwebサイト運営者側は無傷かといえば、そうではないと思います。
お問合せの受付通知メールにはwebサイト名をテンプレートで入れるでしょうから、webサイトの名前入りのスパムが撒かれることになりますよ。
ではどうするか
1.お問合せの受付通知メールの送信をやめる
そもそもお問合せの受付通知メールは必要か今一度考えていただき、不要であれば受付通知メールの送信を止めていただくのが、確実で簡単な方法です。
2.reCAPCHAなど、お問合せフォームを送信しようとしているのが人間かbotか判定する仕組みを導入する。
当記事で取り上げるTurnstileは、2番に該当する手法です。
完全にスパムの送信を止めることはできないものの、お問合せフォームの受付通知メールを維持しつつスパムの送信被害を軽減します。
実装環境
サーバ: レンタルサーバ(ConoHaWING)
webページの実装: Word Press バージョン 6.1.1
WordPressのテーマ: Cocoon バージョン 2.4.3
お問合せフォームの実装: Contact Form 7 バージョン 5.7.1
ConoHa WINGのかんたんインストール機能を使用して、サーバにWord Pressをインストールします。
Contact Form7はWordPressのプラグインで、ボタン一つでお問合せフォームが導入可能になります。
構築手順は、Googleで検索いただければ沢山出てきますので、そちらをご参照ください。
余裕があれば追って更新します。
検証方法
reCAPCHA v3やTurnstileはwebサイトとのやりとり(振る舞い)に基づき判定しています。
筆者(人間)が手動でお問合せフォームを入力しては意味がないため、
自身のメールアドレス宛にスパムメールを送信するスクリプトを作成し、
正常動作を確認します。
実装
Turnstileの導入
ざっくりと以下の手順で導入を進めます。
- Cloudflareへのアカウント登録を行う
- Turnstileにサイト情報を入力。サイトキーとシークレットキーを取得する
- Word PressプラグインSimple Cloudflare Turnstileを導入
- サイトキーとシークレットキーを入力して設定
1. Clouflareへのアカウント登録を行う
既にCloudflare製品を利用中の場合はダッシュボードからTurnstileを使用できる。
Cloudflare製品を利用していない場合は、以下のリンクより情報を入力し、登録してください。登録するとメールに導入の案内が届きます。
Turnstile: https://www.cloudflare.com/ja-jp/lp/turnstile/
Cloudflareへのアカウント登録を指示されるため、メールに記載されたリンクよりアカウント登録を行います。
2. Turnstileにサイト情報を入力。サイトキーとシークレットキーを取得する
Cloudflareのアカウントにログインするとダッシュボード左側のタブにTurnstileタブ(①)があるため、クリック、
画面中央に"サイトを追加"ボタンが現れるため、クリックする
すると、"サイトを追加"画面が出てくるため、サイト名・ドメイン・ウィジットの種類を選択肢、作成ボタンをクリックする。
画面遷移先で表示されるサイトキー、シークレットキーはこの後で使用するため後で確認できるようにしておく。
3. Word PressプラグインSimple Cloudflare Turnstileを導入
Word Press管理画面より、Simple Cloudflare Turnstileをインストールする。
画面右上のキーワードに入力してプラグインを検索し、出てきたら"今すぐインストール"を選択する。
インストール完了したら、"有効化"をクリックする
4. サイトキーとシークレットキーを入力して設定
Simple Cloudflare Turnstileの設定画面に遷移する。
先刻Cloudflareで確認したサイトキー、シークレットキーをコピーして入力、
さらに画面下に"フォームでTurnstileを有効化する"旨の設定がある。
Contact Form 7のタブを開き、"すべてのCF7のフォームで有効化"にチェックを入れ、"変更を保存"ボタンを押す
すると画面中央に"API応答テスト"ボタンがが表示されるため、クリック。
"成功!TurnstileはこれらのAPIキーで正しく動作するようです。"と表示されればOK。
画面表示確認
お問合せフォームを開くと、Cloudflareのアイコンが表示されるようになっています。
検証
スパム送信テスト用のスクリプトを実行し比較検証する。
スパム送信対策が何もない状態で、スクリプトを実行した場合
status: mail sent
→メールが配送される
Turnstileを導入した状態で、スクリプトを実行した場合
status: validation_failed
→メールは配送されない
ちなみに、reCAPCHA v3を導入した状態でスクリプトを実行すると、
status: spam
となり、こちらもメールは配送されません。
まとめ
・Turnstileの導入により、botによるスパム送信を阻止できる
・Turnstile用のwordpressプラグインがリリースされていることもあり、とても簡単に導入できる
今回確認した中で上記2点が分かりました。
Trunstileの他にもreCAPCHAの導入確認・検証していますが、
いずれもサクッと導入できてしまいます。
スパム対策をしていないよ。という方は、自身のwebサイトがスパムの温床にならないよう対策をお勧めします。