Thu, 21 Dec 2023 10:13:31
2023年12年21日
教職員各位
総合情報コラボレーションセンター
Web入力フォームの自動返信メール利用に関する注意喚起とお願い
Web入力フォーム(ホームページの問合せフォーム、アンケートフォーム、投票フォーム等)
におけるスパム防止対策のため、自動返信メール利用に関する注意喚起とお願いがあります。
? 背景
昨今、「Web 入力フォーム」をアンケート収集やホームページの問合せフォームとして
利用することが本学においても増えています。Web 入力フォームの利用自体に問題は
ありませんが、フォームの「自動返信メール」機能がオンに設定されていると、スパム
メールの大量送信に悪用される場合があります。以下に悪用の手口の一例を示します。
【アンケートフォームを悪用する攻撃者の手口】
1.アンケートに、スパムメールを送りつける標的のメールアドレスを入力する。
2.次に、アンケートの自由回答欄に、フィッシングや詐欺サイトに誘導する不適切な
書き込みをする。
3.2 の内容が書き込まれたアンケートの回答をフォームに送信する。
4.フォームの自動返信メール機能がオンに設定されている場合、1 で入力された標的
メールアドレスに2 の内容を含んだ返信メールが送信される。
(攻撃者がプログラムを使って上記の手口を機械的に実行すると、大量のスパム
メールが送信されることになります。)
このようなインシデントが起こった場合、本学のアンケートシステムを用いてスパム
メールや詐欺メールが送信された形となり、本学が加害者になるおそれがあります。
? 対策
Web入力フォームの自動返信メール機能の悪用を防ぐためには、以下のような対策(ま
たはその組み合わせ)があります。
(a)自動返信メール機能の利用を停止する。入力内容の確認が必要な場合は、フォーム
入力後にWeb 上に入力内容の確認画面を表示することなどで代替する。
(b)機械的なフォーム入力を防ぐ仕組みを導入する(例えば、Web フォームの入力項目
に必須項目を設ける、CAPTCHA 認証を設置するなど)。
(c)フォームにアクセスできるユーザーを限定する(例えば、東京外国語大学のユーザー
に限定するなど)。
? Web入力フォームを利用される方への対策実施のお願い
本学におけるWeb入力フォームの利用形態にあわせて、上記(a)~(c)の対策の実
施のありかたを2つのパターンにまとめましたので、Web入力フォームを利用する際
には必要な対策を講じるようお願いします。
パターン① Google Formなどの外部のフォームシステムを利用している場合
?自動返信メールが必要ない方は、まず(a)の対策を実施してください。
?あわせて、フォームのURLの公開範囲やフォームを送付する対象に応じて、(b)
又は(c)の対策の実施もご検討ください。
?もし、メールによる自動返信がどうしても必要である場合は、(b)又は(c)の
対策を必ず実施してください。なお、Google Formは(b)の対策がデフォルト
で実施されています。
?Google Formなどの外部のフォームシステムについてご不明点がございましたら、
各システムのヘルプをご確認のうえ、各自でご対応いただくようお願いします。
(例)Google Formの場合
https://support.google.com/docs/answer/139706
パターン② 総合情報コラボレーションセンター(ICC)が管理するアンケートシステムを利用している場合
?自動返信メールが必要ない方は、(a)の対策を実施してください。
?またICCにおいては、ICCのアンケートシステムに(b)の対策であるreCAPTCHAを一律で導入します。