最初に
この記事はPower Automate Advent Calender 2024 23日目の記事です。
自己紹介
佐賀県の小売業(和服業)で情シスをしています。
社内でPower Platformを活用した取り組みを行ってます。
ライティングページにある問合せフォームからの通知
「着物 クリーニング」とGoogle検索を行うと検索した場所が店舗周対象エリアであれば、先頭ページにライティングページが表示されアクセスすることにより、下記3項目のいずれかの問合せ手段にてクリーニングの問合せを行う仕組みを行っています。
3つの問合せ手段
・LINE公式アカウントによる問合せ
・問い合わせフォームによるの問合せ
・フリーダイヤルによる問合せ
Power Automateを使用しているのは、問合せフォームから問合せした場合にフローが実行される仕組みを作っています。
クラウドフローの内容
問合せフォームから送信するとメールが送信され、メール受信をトリガーにして問合せ内容はShare Point Online Listに問合せ内容が保存し、問合せ内容がチャットに通知が届くようにフローを作成してます。
フローを有効化して1週間後、問合せフォームから迷惑メール・チャット通知がたくさん届く
問合せフォームからの通知を有効にして1週間近くは特に問題がなく動いていたが、ある日の夕方に一定間隔でチャットの大量通知が届くようになり、メールアドレス・問合せ内容からBot攻撃による迷惑メールの大量送付だと気付く。
平日の夕方に迷惑メールが送られてきたこともあり、すぐにPower Automateのフローを無効にすることができました。
対策しろと言われたが
Power Automate上では問合せ窓口から正しく送られてきており「件名、送信元アドレス」共に正しいのでPower Automate側で正しい問合せの判断が難しいこと、Power Automate側ではなく問合せフォーム側が
2024年の現在問合せフォームにBot対策をしていない業者も問題ではあるが、問合せフォームを作成した業者にBot対策を早期に行ってもらうように広報部門から業者に依頼してもらう。
対策直後にフローを有効するのは危険
Bot対策が行われたからと言ってすぐにフローを有効にしたら、残っているフローが実行される可能性があったので、問合せフォームの送信先メールアドレスを変更して、新規でフローを再作成しました。
まとめ
Bot攻撃の対策していない問合せフォームを作った業者自体問題ではあるが、Power Automateで正しいフローを書いていても、大元が原因にて大変なことが起きることもあります。
Power Automateに限らずPower BIでも言えますが、大元についての知見がないと大惨事になる可能性があるので注意しましょう。