サイトの「問い合わせフォーム」を悪用する攻撃に警戒を

一般的に用いられる「問い合わせフォーム」では、「氏名」だけに限らず、会社名や電話番号など複数の項目のほか、問い合わせ内容など長文の入力が可能となっているケースも多い。

フォーム投稿後、入力内容について自動で返信されるメールは、正規利用者にとって控えが届く便利な機能だが、ひとたび悪用されれば、攻撃者が情報を第三者に発信できる「インフラ」となりうる。

自動返信メールでは、記入ミスなどによってメールが無関係の第三者へ届くことも想定し、本文に自動返信である旨を記載して、心当たりがない場合は、無視や削除することなど求めるなど、あらかじめ注意を促すことで、リスクの低減を図っているものもある。

船橋市の場合、宛名がURLの文字列となって見るからに不自然な記載であり、受信者が十分警戒できるものだった。それでも大量に配信されれば、こうしたメールでも一定の割合で誤ってアクセスしてしまう人がでてしまうだろう。

また「怪しいメール」が届いたとなれば、問い合わせ先に連絡が集中し、対応に追われたり、受信者に不信感を抱かせ、企業などの場合はブランドを棄損するリスクもある。

さらに厄介なのは、こうしたスパムメールの踏み台行為は、第三者にスパムが届くことはもちろん、別の深刻な問題を引き起こす可能性があることだ。

（Security NEXT - 2020/05/27 ）ツイート