News お知らせ

バナー

Web入力フォームの自動返信メール利用に関する注意喚起とお願い

注意喚起

Thu, 21 Dec 2023 10:13:31

                                 2023年12年21日
教職員各位

                         総合情報コラボレーションセンター

    Web入力フォームの自動返信メール利用に関する注意喚起とお願い

Web入力フォーム(ホームページの問合せフォーム、アンケートフォーム、投票フォーム等)

におけるスパム防止対策のため、自動返信メール利用に関する注意喚起とお願いがあります。


? 背景

昨今、「Web 入力フォーム」をアンケート収集やホームページの問合せフォームとして

利用することが本学においても増えています。Web 入力フォームの利用自体に問題は

ありませんが、フォームの「自動返信メール」機能がオンに設定されていると、スパム

メールの大量送信に悪用される場合があります。以下に悪用の手口の一例を示します。

【アンケートフォームを悪用する攻撃者の手口】
1.アンケートに、スパムメールを送りつける標的のメールアドレスを入力する。
2.次に、アンケートの自由回答欄に、フィッシングや詐欺サイトに誘導する不適切な

 書き込みをする。
3.2 の内容が書き込まれたアンケートの回答をフォームに送信する。
4.フォームの自動返信メール機能がオンに設定されている場合、1 で入力された標的

 メールアドレスに2 の内容を含んだ返信メールが送信される。

(攻撃者がプログラムを使って上記の手口を機械的に実行すると、大量のスパム

 メールが送信されることになります。)

このようなインシデントが起こった場合、本学のアンケートシステムを用いてスパム

メールや詐欺メールが送信された形となり、本学が加害者になるおそれがあります。

? 対策

Web入力フォームの自動返信メール機能の悪用を防ぐためには、以下のような対策(ま

たはその組み合わせ)があります。
(a)自動返信メール機能の利用を停止する。入力内容の確認が必要な場合は、フォーム

 入力後にWeb 上に入力内容の確認画面を表示することなどで代替する。
(b)機械的なフォーム入力を防ぐ仕組みを導入する(例えば、Web フォームの入力項目

 に必須項目を設ける、CAPTCHA 認証を設置するなど)。

(c)フォームにアクセスできるユーザーを限定する(例えば、東京外国語大学のユーザー

 に限定するなど)。

? Web入力フォームを利用される方への対策実施のお願い

本学におけるWeb入力フォームの利用形態にあわせて、上記(a)~(c)の対策の実

施のありかたを2つのパターンにまとめましたので、Web入力フォームを利用する際

には必要な対策を講じるようお願いします。

パターン① Google Formなどの外部のフォームシステムを利用している場合

?自動返信メールが必要ない方は、まず(a)の対策を実施してください。
?あわせて、フォームのURLの公開範囲やフォームを送付する対象に応じて、(b)

 又は(c)の対策の実施もご検討ください。
?もし、メールによる自動返信がどうしても必要である場合は、(b)又は(c)の

 対策を必ず実施してください。なお、Google Formは(b)の対策がデフォルト

 で実施されています。
?Google Formなどの外部のフォームシステムについてご不明点がございましたら、

 各システムのヘルプをご確認のうえ、各自でご対応いただくようお願いします。

(例)Google Formの場合
   https://support.google.com/docs/answer/139706

パターン② 総合情報コラボレーションセンター(ICC)が管理するアンケートシステムを利用している場合

?自動返信メールが必要ない方は、(a)の対策を実施してください。
?またICCにおいては、ICCのアンケートシステムに(b)の対策であるreCAPTCHAを一律で導入します。