会員登録や問い合わせなどフォーム画面を開発する際にはreCAPTCHAを導入することをお勧めしております。
今回はreCAPTCHAを導入しないとどんなことが起きてしまいえるかということをご紹介いたします。
reCAPTCHAとは
reCAPTCHAはサイト利用者が人間かbotのどちらであるかを判定してくれるサービスです。Googleが提供しており、プランにもよりますが基本は無料で利用可能です。
reCAPTCHAを導入することにより、botからの会員登録や問い合わせは受け付けないなどの処理をシステムに組み込みことが可能になります。
reCAPTCHAを導入しないとどんな問題が起きてしまいうるか
1.システムに脆弱性がある場合、不正にアクセスされてしまう
webフォームはデータベースへのアクセスを伴うことが多いため、攻撃者にとっては狙いやすい画面です。
webフォームに対するアタックはさまざまな種類がありますが、例えば、代表的なアタックの1つであるSQLインジェクションが成功してしまうと、データベースを不正に操作され、個人情報の漏洩やデータの改竄が行われてしまう可能性があります。
そもそも脆弱性がある時点で問題ではありますが、reCAPTCHAが導入されていない場合botからのアクセスを受け付けてしまうことで、脆弱性が突かれやすい状態になってしまいます。
2.システムの管理者、または一般のユーザーが不正なサイトへ誘導されたり、ウィルスを含むプログラムをダウンロードさせられてしまう
主に問い合わせフォームで起こりうる事象です。botが違法サイトへ誘導するリンク、またはウィルスを含むプログラムをダウンロードさせるリンクを含んだ問い合わせを行い、サイト管理者がそれを誤ってクリックしてしまった場合に攻撃が成功してしまいます。
また、問い合わせフォームでは確認のために、投稿者のメールアドレス宛に問い合わせ内容を送信する機能があるものもありますが、その場合botが別途収集したメールアドレスをフォームに入力することで、意図せずにアタックを仲介してしまうことにもつながります。
3.フォームへの登録が成功した後に送られるメール数が増加することで、運用費用が上がってしまう
問い合わせフォームや会員登録フォームでは投稿完了後に、問い合わせ内容の確認や会員登録認証のメールが送付される場合が多いです。botによるアクセスを受け付けてしまう場合、日に何度も投稿されメール配信数が増加してしまうことが考えられます。
メール配信で利用しているサービスにもよりますが、代表的なサービスであるSendGridやAmazon SESではメール配信数に応じて利用料金が増加するため、botのアクセスの結果、運用費用が増加してしまう可能性があります。
4.フォームへの登録が成功した後に送られるメールがスパム判定されることで、サイト全体のメール送信機能が停止してしまう
botが入力したメールアドレス宛にメールを送信していると、そのうちのいくつかがスパムとして報告される場合があります。各メール配信サービスはスパムメールを送ってしまわないように独自の制限を設けていることが多いため、一定の割合以上スパムメールの配信があるとそのアカウントからのメール配信機能が停止してしまう場合があります。
メールの配信が止まってしまうと、ユーザーへの通知機能などbotとは直接関係のないあらゆる機能に影響が出てしまう可能性があります。
結論
いかがでしたでしょうか。フォームに対してreCAPTCHAを導入しない場合、さまざまな問題が起こってしまう可能性があります。
ぜひreCAPTCHAの導入をご検討ください。
コメント