迷惑メール対策のつもりが無意味だった企業Webサイトの例|営業リスト作成中に見えた実態

vivisec
迷惑メール対策のつもりが無意味だった企業Webサイトの例|営業リスト作成中に見えた実態

企業のWebサイトでは、迷惑メール対策としてメールアドレスの表記を工夫しているケースがあります。

たとえば「example[at]example.com」のように、「@」をそのまま書かない方法です。

一見すると対策しているように見えますが、実際には意味をなしていないケースも少なくありません。

今回は、営業リスト作成中に実際に確認した事例をもとに、「やっているつもり」の迷惑メール対策について整理します。

実際、営業リスト作成中には、こうした「対策しているつもり」の状態をよく見かけます。

例えば、仮ドメインのまま公開されている企業サイトなどもあり、基本的な管理が行き届いていないケースは少なくありません。

営業リスト作成で見えた企業サイトの実態│仮ドメインのまま公開されているサイトとセキュリティの話

実例:お問い合わせページでは対策、しかし別ページでメールアドレスを公開

ある企業サイトでは、お問い合わせページに「xxx[at]example.com」と記載されていました。

一方で、同じサイトのフッターには「xxx@example.com」と通常のメールアドレスが掲載されていました。

メールアドレスを公開している時点で収集対象にはなりますが、このように表記が混在している場合、より簡単に収集される状態になっています。

このように、ページごとに対応がバラバラになっている状態は珍しくありません。

実際、営業リスト作成中にも、WordPressのエラーがそのまま表示されている企業サイトなども見られます。

WordPressのエラーがそのまま表示されている企業サイトの実態

なぜこの対策は意味がないのか

迷惑メールの多くは、ボットによって収集されたメールアドレスに送られます。

そのため、メールアドレスがテキストとしてHTML内に記述されている時点で、収集対象になります。

「[at]」などで表記を変えていても、文字列の補正や変換によってメールアドレスとして認識されることがあります。

また、通常表記と混在している場合は、より簡単に収集される状態になります。

このように、一部だけ対策しているように見えても、全体として見ると意味を持っていないケースは少なくありません。

例えば、通信自体が暗号化されていないHTTPのまま運用されている企業サイトも一定数存在します。

企業サイトの13%がSSL未対応だった|HTTPのままのリスクと実態

よくある「やっているつもり対策」

このようなケースは珍しくなく、他にも以下のような例があります。

  • お問い合わせページだけ対策している
  • フォームがあるのにメールアドレスも公開している
  • JavaScriptで隠しているつもりだが取得可能
  • 画像化しているが別ページにメールアドレスの記載がある

いずれも、一部だけ対策になっており、全体としては無防備な状態です。

よくある迷惑メール対策とその限界

迷惑メール対策として、以下のような方法が使われることがあります。

  • メールアドレスを画像で表示する
  • 「@」を全角にする
  • 「[at]」や「★」、スペースで分割する

これらは一部の単純な収集ボットには効果がありますが、現在では十分な対策とは言えません。

多くのボットは、全角・半角の変換や文字列の補正を行ったうえでメールアドレスを抽出します。

また、画像化についても、文字認識(OCR)によって取得される可能性があります。

そのため、これらの方法だけに頼った対策では、迷惑メールの収集を防ぐことは難しい状況です。

なお、「[at]」などの表記で統一されている場合は一定の効果はありますが、現在のスパム収集ボットは文字列の補正や変換を前提に処理するため、これだけで十分な対策とは言えません。

なぜ企業サイトはこのような状態になるのか

主な理由は以下の通りです。

  • 制作と運用が分断されている
  • 過去の記述がそのまま残っている
  • セキュリティの理解が断片的
  • スパムを問題として認識していない

企業サイトでは、複数の担当者が更新に関わるため、ページごとに対応がバラバラになりやすい傾向があります。

攻撃者視点で見るとどう見えるか

攻撃者(あるいはスパムボット)から見ると、このようなサイトは非常に単純です。

  • ページをクロール
  • メールアドレスを抽出
  • 自動送信

botは、対策されているかどうかを判断せず、サイト内にあるメールアドレスを機械的に収集します。

対策として考えるべきこと

迷惑メール対策として表記を工夫するケースは多く見られますが、現在のスパム収集ボットは文字列の補正や変換を前提に処理するため、単純な表記の工夫だけで防ぐことはできません。

そのため、どのようにメールアドレスを書くかではなく、そもそも公開するかどうかを見直す必要があります。

たとえば、お問い合わせページで「[at]」表記にしていても、通常表記であっても、メールアドレスを公開している限り収集対象になります。

そのうえで、次の点を確認しておくとよいでしょう。

  • サイト内にメールアドレスを公開する必要があるか見直す
  • 不要であれば、問い合わせはフォームに一本化する
  • 公開する場合は、スパム対策(フィルタや受信設定)を前提に運用する

また、通常のメールアドレスと「[at]」表記が混在している場合は、より簡単に収集される状態になっているため、意図しない公開になっていないか確認が必要です。

メールアドレスを公開したまま迷惑メールフィルタに頼る運用では、正規の問い合わせが届かない可能性があります。

こうしたリスクを考えると、迷惑メール対策としては、メールアドレス自体を公開しない方が確実です。

まとめ

今回の事例は、「対策しているつもり」になっている典型的なケースでした。

お問い合わせページで表記を工夫していても、メールアドレスを公開している限り、収集対象になります。

さらに、表記を変えていても、収集されにくくなるだけで、完全に防げるわけではありません。

まずは、自サイト内のどこかにメールアドレスの記載がないかを確認してみてください。

今回のような一部だけ対策している状態は、メールの表記に限らず、さまざまな場面で見られます。

営業リスト作成を通して見えてきた、企業サイトの実態については、他の記事でもまとめています。

WordPressのエラーがそのまま表示されている企業サイトの実態
企業サイトの13%がSSL未対応だった|HTTPのままのリスクと実態