問い合わせフォームに画像やPDFを添付できるようにすると、ユーザーが資料や写真を一緒に送れるようになり、その後のやり取りがスムーズに進みます。一方で、ファイルを受け付ける仕組みにはマルウェア感染や情報漏洩などのセキュリティリスクが伴うため、設計と運用には十分な注意が必要です。
このページでは、添付ファイル機能をつける具体的な方法から、想定されるリスクと対策まで、中小企業のホームページ担当者に向けて整理して解説します。
問い合わせフォームの添付ファイル機能とは
ユーザーがフォームから画像やPDFなどのファイルを送信できる仕組みが、添付ファイル機能です。問い合わせや申込みの場面で、本人確認書類の写真、商品の不具合を示す画像、参考資料のPDFなどを一緒に送ってもらえれば、テキストだけでは伝わりにくい情報も補完できます。
たとえば当社が制作したピュアカナダのお申込フォームでも、この機能を活用しています。渡航に必要なパスポートの写真を、事前にフォームからアップロードしてもらえるよう設計しました。以下が、実際に設置した画像添付欄のキャプチャです。
スマートフォンで撮影した写真をその場で送ってもらえるため、郵送やメールでのやり取りが不要となり、ユーザーと運営者の双方の手間を減らせます。問い合わせから先の業務を効率化できる点が、添付ファイル機能を導入する大きなメリットといえるでしょう。
問い合わせフォームに添付ファイルをつける方法
問い合わせフォームに添付ファイル機能をつける方法は、大きく3つあります。導入のしやすさや運用コスト、セキュリティ面の負担、カスタマイズの自由度などを踏まえて、自社の状況に合った方法を選ぶことが大切です。
WordPressのプラグインを利用する
WordPressでホームページを運用している場合、問い合わせフォームに添付ファイル機能をつける手段としてもっとも自然に選べるのが、プラグインを使う方法です。
代表的なものにContact Form 7やWPFormsがあり、Contact Form 7は専用のショートコードを記述する必要がありますが、WPFormsはドラッグ&ドロップ操作で項目を配置できるため、コードに不慣れな方でも扱いやすい設計になっています。
プラグイン自体は無料で提供されているものが多く、月額コストをかけずに導入できる点が大きなメリットです。一方で、セキュリティ設定やプラグインの更新、サーバー側の管理は、すべて自社で対応する必要があります。
中小企業や個人商店で、WordPressの運用に慣れている、または対応できる担当者がいる場合に向いた方法です。導入後も継続的に管理できる体制があるかを、事前に確認しておくとよいでしょう。
フォーム作成ツールを利用する
formrunやTayori、formzといったフォーム作成ツールを使えば、コードの知識がなくても問い合わせフォームに添付ファイル機能を追加できます。アカウントを作成して項目を配置するだけで、最短数分で運用を始められる手軽さがあります。
最大の特徴は、セキュリティに関わるサーバー設定や脆弱性対応を、サービス提供元が担保してくれる点です。社内にIT担当がいない中小企業や個人商店でも、安心して扱える選択肢といえます。
ただし、添付ファイル機能は無料プランでは制限されることが多く、本格的に活用するには月額数千円程度の有料プランへの加入が一般的です。継続的なコストが発生する点を理解したうえで、自社の利用頻度や予算と照らし合わせて選びましょう。
HTML・CSS・PHPなどのコードで作成する
HTMLやCSS、PHPなどを使って、問い合わせフォームを一から開発する方法もあります。デザインや項目の構成、添付ファイル機能の処理方法まで自由に設計できるため、独自の要件があるホームページに適しています。
ただし、フォームの開発だけでなく、ファイル受け取り後のサーバー側処理、入力内容のバリデーション、保存設計などを、すべて自分で組み立てる必要があります。設計を誤ると重大な脆弱性につながるため、専門知識と十分な検証工程が欠かせません。
中小企業や個人商店が自社単独で取り組むのは現実的ではなく、ホームページ制作会社などに依頼するケースが一般的です。コストや工期と引き換えに、自社専用に最適化された問い合わせフォームを開発したい場合の選択肢といえるでしょう。
問い合わせフォームに添付ファイル機能を導入するセキュリティリスク
問い合わせフォームに添付ファイル機能を導入すると、テキストだけのフォームにはなかった独自のセキュリティリスクが発生します。代表的なものを4つに分け、それぞれの内容と起こりうる被害を整理します。
アップロードファイル経由でマルウェアに感染するリスク
問い合わせフォームに添付ファイル機能を導入すると、ユーザーから送られてくるファイルにマルウェアが混入している可能性があります。受け取った担当者が中身を確認しようとファイルを開いた瞬間、パソコンがウイルスに感染するケースは少なくありません。
感染が広がれば、社内ネットワーク全体や保管している顧客情報にまで被害が及ぶおそれがあります。一見すると安全に見える画像ファイルやPDFにも、不正なスクリプトが仕込まれていることがあり、見た目だけで判断するのは危険です。
特に、不特定多数からの問い合わせを受け付けるホームページでは、送信者の素性を事前に確認できないため、添付されたファイルが安全であるという前提に立たない運用設計が求められます。
保管された添付ファイルが第三者に閲覧・改ざんされるリスク
問い合わせフォームの添付ファイル機能を通じて送られたファイルは、通常サーバー上に保管されます。この保管場所の設計が不適切な場合、第三者にファイルの中身を見られたり、内容を書き換えられたりするおそれがあります。
たとえば、保存先のディレクトリが公開状態になっていたり、ファイル名が連番や日付などの推測しやすい形式だったりすると、URLを直接入力するだけでファイルにアクセスされてしまう可能性があります。
過去には、企業の問い合わせフォームに添付された顧客の個人情報や本人確認書類が、誰でも閲覧できる状態で保存されていた事案も報告されています。添付されたファイルには機密性の高い情報が含まれることも多く、保管設計の不備は重大な情報漏洩につながりかねません。
フォームを悪用したスパムメール送信の中継点になるリスク
問い合わせフォームに添付ファイル機能を導入すると、フォームの送信処理を悪用され、スパムメール送信の中継点として利用されるおそれがあります。攻撃者は不正なヘッダー情報をフォーム送信時に注入し、本来の問い合わせとは無関係な相手へ大量のメールを送りつける手口を使います。
この被害を受けると、自社のサーバーやドメインがスパム送信元として認識されてしまい、正規のメールまで相手に届かなくなる事態を招きます。一度ブラックリストに登録されると、解除には時間と手間がかかります。
添付ファイルを扱う仕組みが加わるとメール送信処理の構造が複雑になり、不正な入力をはじく仕組みが整っていないフォームほど、こうした悪用の標的になりやすい傾向があります。
大量のファイル送信によるサーバー負荷・攻撃のリスク
問い合わせフォームに添付ファイル機能を加えると、悪意のあるユーザーから大量のファイルを連続送信され、サーバーに過剰な負荷がかかる事態を招くおそれがあります。いわゆるファイル爆撃と呼ばれる攻撃手法では、容量の大きなファイルを繰り返し送信することで、サーバーのストレージや処理能力を消費させ、フォームを停止状態に追い込みます。
問い合わせフォームが利用できなくなれば、本来の問い合わせも受け付けられず、ビジネス機会の損失に直結します。さらに、サーバーへの負荷がサイト全体に波及すれば、トップページや商品ページの表示にまで影響が出る可能性も否定できません。
対策を施さずに添付ファイル機能を公開しているフォームほど、こうした攻撃の標的にされやすくなる点には注意が必要です。
問い合わせフォームの添付ファイル機能で実施すべきセキュリティ対策
問い合わせフォームに添付ファイル機能を導入する際には、リスクを抑えるためのセキュリティ対策が欠かせません。ここでは、最低限実施しておきたい5つの対策を解説します。
ホームページをSSL化して通信を暗号化する
SSL化はホームページの基本的なセキュリティ対策であり、問い合わせフォームの有無を問わず本来は必須の対応です。とくに添付ファイル機能を導入する場合は、本人確認書類の写真や機密性の高い資料がフォーム経由でやり取りされる可能性があるため、なおさら欠かせない対策となります。
SSLを導入すると、フォームから送信される入力内容や添付ファイルが暗号化された状態で通信されるため、途中で第三者に内容を盗み見られたり、改ざんされたりするリスクを大幅に減らせます。未対応のまま運用していると、送信内容がそのまま読み取れる状態で通信されてしまい、サーバー側の対策をどれだけ強化しても意味がありません。
SSL証明書はサーバー側の設定で導入でき、無料で利用できるものもあります。すでに対応済みのホームページでも、未対応のページが残っていないか念のため点検しておきましょう。
アップロード可能な拡張子を制限する
問い合わせフォームの添付ファイル機能では、受け付けるファイルの拡張子をあらかじめ制限しておくことが重要な対策のひとつです。すべての拡張子を許可してしまうと、実行可能なファイルや不正なスクリプトを含むファイルが送られてくる危険性が高まります。
たとえば、.exeや.js、.phpといったプログラムを実行できる形式は、マルウェアの温床になりやすいため、原則として受け付けないようにしましょう。代わりに、業務上必要となる.jpgや.png、.pdfなど、安全性が比較的高い形式に絞って許可するのが現実的です。
WordPressのプラグインや主要なフォーム作成ツールでは、拡張子の制限機能が標準で用意されており、設定画面から許可する形式を指定できます。コードで自作する場合は、安全な形式だけを受け付ける処理を必ず組み込み、想定外の拡張子が通過してしまわないよう設計しておきましょう。
添付できるファイルの容量と数に上限を設定する
問い合わせフォームに添付ファイル機能を実装する場合、1ファイルあたりの容量と、一度に送信できるファイル数の両方に上限を設けておきましょう。上限を設定しないと、極端に大きなファイルが送られてサーバーが過負荷になったり、ファイル爆撃などの攻撃に晒される危険性が高まります。
容量の上限は、業務で扱う書類のサイズを踏まえつつ、1ファイルあたり5MBから10MB程度が一般的な目安です。これを超えるファイルは別の方法で受け取る運用にすると、サーバーへの負担を抑えられます。
ファイル数の上限についても、用途に応じて1から3ファイル程度に絞るのが現実的でしょう。あわせて添付の合計容量にも制限をかけておくと、想定外の大量アップロードによるトラブルを未然に防げます。
ファイルの保存場所を外部から直接アクセスできない領域に設定する
問い合わせフォームの添付ファイル機能を通じてアップロードされたファイルは、Web上から直接アクセスできない領域に保存することが鉄則です。公開ディレクトリにそのまま保存してしまうと、URLを推測されただけで第三者にファイルの中身を見られる事態を招きかねません。
保存先には、Webサーバーの公開領域とは切り離されたディレクトリを指定し、ファイルの取得時には認証や中継処理を経由させる設計が望ましいといえます。これにより、外部から直接URLを叩いてファイルを取り出すルートをふさげます。
また、保存時にファイル名をランダムな文字列へ自動変換しておくと、URL推測によるアクセスのリスクをさらに下げられます。アップロードされた元のファイル名をそのまま保存名として使う設計は避けたほうが安全です。
reCAPTCHAなどでbotによる不正送信を防ぐ
問い合わせフォームに添付ファイル機能を組み込むと、botによる自動送信の標的にされやすくなります。スパムメールの中継や悪意のあるファイルの大量送信を防ぐためには、人間による操作かどうかを判別する仕組みが必要です。
代表的なのが、Googleが提供するreCAPTCHAです。フォーム利用時のユーザーの挙動を解析し、botと判断された送信を自動的に弾く仕組みになっています。最新版ではチェックボックスを押す必要すらなく、バックグラウンドで判定が完了するため、正規の利用者には負担をかけずに不正送信だけを遮断できます。
WordPressのプラグインを使う場合は、Googleでサイト登録してAPIキーを取得し、プラグインの設定欄に貼り付ける形でreCAPTCHAを利用できます。フォーム作成ツールでは、提供元側でreCAPTCHAを一括管理しているケースが多く、利用者が個別に設定しなくても標準で対策が効くこともあります。コードで自作する場合は、reCAPTCHAをゼロから組み込む必要があるため、設計段階で対策の仕組みも一緒に検討しておきましょう。
まとめ
問い合わせフォームに添付ファイル機能を導入すると、ユーザーから資料や写真を一緒に送ってもらえるようになり、その後のやり取りがスムーズに進みます。一方で、マルウェア感染や情報漏洩、スパム中継、サーバー負荷といったリスクが新たに発生する点には注意が必要です。
実装方法はWordPressのプラグイン、フォーム作成ツール、コードによる自作の3つから選べ、それぞれにコスト面と運用面の特徴があります。自社の体制や予算に合った方法を選んだうえで、SSL化、拡張子の制限、容量や数の上限設定、保存場所の設計、bot対策といったセキュリティ対策を必ずセットで実施しましょう。
利便性とリスクの両面を理解して運用することで、はじめて安心して活用できる仕組みになります。
