今回はメールアドレスをホームページに掲載する際のセキュリティリスクと対処方法について解説していきます。

コーポレートサイトや採用サイトに自社の問い合わせ用のメールアドレスを掲載するケースは多々ありますが、メールアドレスをそのままHTMLに記載するのはセキュリティの観点から危険なため注意が必要です。

個人的にはこのセキュリティリスクを理解してはじめから対策をしているホームページ制作会社は50％あるかないかだと思いますので、コーダーやデザイナーなどの作業者だけでなくWeb担当者も理解しておくと良いでしょう。

ホームページにメールアドレスを掲載するのが危険な理由

ホームページにメールアドレスをそのまま掲載してしまうとスパムメールが大量に送られてきたり個人情報の漏洩などのリスクが高まります。

スパムメールの大半は一方的に広告や宣伝を行うことが目的ですが、中にはウイルスなどが仕込まれておりメールを開いたユーザーの個人情などが流出してしまうものなどがあります。

また、メールアドレスがホームページ上で公開されていることで悪意のある第三者がフィッシング詐欺などの標的にする場合があります。

スパムメールが送られてくる仕組み

スパムメールを送りつける側は人間がホームページをひとつひとつ見てメールアドレスをリスト化するのではなく、ボットと呼ばれるロボットを使用して自動的に大量に標的となるメールアドレスを収集します。

ホームページ上にメールアドレスを掲載する場合は下記のように裏側で記述されるのが一般的なため、mailto:以降のメールアドレスを収集するようなボットが使われるケースが多いです。

<a href=”mailto:example@example.com”>example@example.com</a>

そのためスパムメールを防ぐために以下のような対策が必要です。

「エンティティ化」する

エンティティ化とは、example@example.jpというメールアドレスの各文字を別の文字列に変換する手法です。

example@example.jpの場合では以下のように変換されます。

&#x65;&#x78;&#x61;&#x6d;&#x70;&#x6c;&#x65;&#x40;&#x65;&#x78;&#x61;&#x6d;&#x70;&#x6c;&#x65;&#x2e;&#x6a;&#x70;

ブラウザ上ではexample@example.jpと表示されますが、ソースコード上では上記のように暗号化された”風な”文字列で表示されるため一見スパムメール対策になるように見えます。

しかし、実のところエンティティ化は暗号化ではありません。

エンティティ化とは、「a」＝「1」、「b」＝「2」、「c」＝「3」のように元々の文字とエンティティ化された文字が1対1で対応しているため、容易に元のメールアドレスに戻すことが可能です。

スパム対策として効果が全くないわけではないですが、簡単に元のメールアドレスを特定されてしまうため現在ではほとんど意味のない対策方法として理解しておくことをおすすめします。

JavaScriptを使用して暗号化する

JavaScriptを使ってメールアドレスを暗号化する方法もあります。

JavaScriptと聞くと技術的な知識が必要かと思われがちですが、パスワード生成ツールがあるのでJavaScriptの知識がなくても作成することが可能です。

上記画像のコードは「LUFTTOOLS」というサイトを使用して生成したコードです。

この方法で暗号化されたメールアドレスはエンティティ化の場合とは異なり、完全にランダムの文字列に変換されているため容易に元のメールアドレスを特定することはできません。

そのためメールアドレスを暗号化する場合はこのJavaScriptを使用した暗号化がおすすめです。

この方法の注意点は、ユーザーによってJavaScriptがOFFになっている場合だとメールアドレスが正しく表示されないというデメリットがあるので、その場合の表示設定をあらかじめ決めておくことが重要です。

QRコードに変換する

「CMAN」のサービスを利用すれば無料で簡単にメールアドレスからQRコードを作成することができます。

自動収集ボットでは画像の内容までを読み取ることは難しいため、メールアドレスをQRコードに変換して掲載する方法もスパム対策として有効です。

また、スマホなどの携帯端末であればカメラを画像をかざすだけでQRコードを読み取ることができるためBtoC向けのホームページであれば特に相性が良いといえます。

しかし、パソコンで閲覧している場合などはメール送信までに手間取ってしまうため問い合わせ件数が下がってしまう場合もあるため、閲覧するユーザーとの相性を考慮した上で対策することが必要です。

まとめ

メールアドレスをホームページに掲載する場合には、これらの方法を適切に利用することでメールアドレスをホームページに掲載しつつ、セキュリティリスクを低減することができます。

ただし、それぞれの方法にはメリットとデメリットがあるため、ホームページの目的やターゲットユーザーに合わせて最適な方法を選択して利用するようにしてください。

また、HTMLコーダーにとっては、これらの対処方法を知っておくことで、クライアントやユーザーに安全なウェブサイトを提供することができます。

常にセキュリティリスクを意識し、ホームページ制作に役立てていただければ幸いです。