2025年9月16日(火)17時頃から9月17日(水)10時頃にかけて、株式会社アークライト主催のデュエル・マスターズ ジュニアグランプリ 2025公式サイトに設置されていた問い合わせフォームが第三者に悪用され、イベントを装う迷惑メール(スパム)が不特定多数へ送信されました。
現在、当該フォームは閉鎖され、よりセキュリティを強化した新フォーム(Googleフォーム)に切り替え済みです。現時点の調査では、申込者・関係者の個人情報流出は確認されていません。
概要
問い合わせフォームには、入力されたメールアドレス宛に、入力内容をそのまま自動返信する機能がありました。
攻撃者はこの仕様を逆手に取り、メールアドレス欄に外部で入手した第三者のメールアドレスを、問い合わせ内容欄にスパム本文を入力して送信。
結果として、公式フォームの自動返信が攻撃者の代わりにスパムを配信する形となりました。いわゆるフォームを踏み台にした“自動返信スパム中継”です。
取られた対応
-
旧問い合わせフォームを直ちに閉鎖。
-
セキュリティ強化を図った新フォーム(Googleフォーム)を設置し、運用再開。
-
新フォームへの切り替え後は、不正利用および迷惑メール送信が停止していることを確認。
-
追加の事実が判明した場合は速やかに情報を開示する方針。
再発防止の実務ポイント
同種事象はフォーム設計の見直しで抑止できます。以下は即効性の高い改善策です。
-
自動返信仕様の再設計
入力本文をそのまま返信しない(テンプレート化+危険語句除去)。返信先にユーザー入力メールを直接使用しない。ダブルオプトイン等のメール検証を導入する。 -
送信レート制御とBOT対策
reCAPTCHA/hCaptcha、CSRFトークン、ハニーポット、IP/ASNごとのレートリミットを実装。送信回数・失敗率・同一内容連投のしきい値超過で自動停止。 -
メール送信基盤の堅牢化
SPF/DKIM/DMARC(p=quarantine/reject)を適用し、From/Return-Pathの一貫性を担保。短縮URLやスクリプト断片など危険要素はフォーム側で除去。








