フォームURLの脆弱性対応について
2020年08月21日
各位
平素は「配配メール」をご利用頂き、ありがとうございます。
先日ご案内しておりますが、2020年 8月26日にバージョンアップを実施いたします。
今回のバージョンアップは機能追加の他、発見されている脆弱性の対応を行います。
それに伴い、発行している登録フォームなどの URLを変更いただく必要が生じます。
誠に恐れ入りますが、以下をご確認の上、ご留意頂きますようお願い申し上げます。
※8月26日以降に新規で発行したフォームについては本件との関係はございません。
※2020年9月1日:影響範囲の記述を一部訂正しました。
フォームURLに関する脆弱性対応の詳細と注意事項
脆弱性対応に伴うフォームURLの改修
この度、登録フォームなどのフォーム機能に関するURLに脆弱性が発見されました。
上記に伴い、既に作成・発行済の登録フォームなどのURLに是正対応を行います。
2020年8月26日以降は、フォーム設定画面に「更新」ボタンが表示されます。
「更新」ボタンを押すと、URLが再発行され、既存のURLが利用できなくなります。
※「更新」を押さない限り、URLやQRコードが勝手に変わることはありません。
変更期限とリスク
現時点では変更を要する期限は定めておりませんが、変更・更新されないままですと
セキュリティ面で万全とは言えないため、早急に御変更頂くことを推奨致します。
想定されるユーザ様側での具体的な対応
配信済みの解除フォームやマイページへのアクセス
配信済みのメールに挿入された解除フォームURLやマイページURLは使用できません。
最新の解除フォームやマイページURLを掲載したメールの配信直前に「更新」を押し、
更新後に最新の配信を行っていただくことを推奨いたします。
解除フォームやマイページURLをメールに挿入して高頻度で配信している場合
解除フォームURLやマイページURLを本文内に挿入して高い頻度で配信している場合、
「更新」ボタンを押すことで既に配信しているメールに挿入した解除フォームURLや
マイページURLは元のURLが変更されるため、アクセスができなくなります。
そのため、元の配信グループの解除フォームURLやマイページURLを更新するために、
下記を回避策としてご提案させて頂きます。
①:「グループ配信」から新しく配信グループを作成する
②:新しい配信グループに元のグループから配信リストをコピーする
③:新しい配信グループで解除フォームまたはマイページを発行する
※ 解除フォームはパターン「3」、マイページはパターン「3」か「4」を指定する
④:新しい配信グループのマイページや解除フォームを一時的に元の配信グループで
配信するメールの本文内に解除フォームやマイページのURLを挿入する
⇒上記のように2つの配信グループに全く同じ配信リストを登録しておくことにより、
片方の配信グループで使っている解除フォームURLやマイページURLをもう一方の
配信グループから送ったメールの本文に挿入してもアクセスが可能になります。
頃合いを見て、元の配信グループで使用している解除フォームを「更新」して頂き、
更新し終えたら元の配信グループの解除フォームを本文に挿入してください。
登録フォームやマイページのURLやQRコードをHPや店頭に掲載している場合
登録フォームやマイページのURLやQRコードを自社のホームページなどに掲載したり、
印刷して店頭などに貼っている場合は以前のURLやQRコードは使用できなくなります。
そのため、「更新」ボタンを押した場合はホームページなどに掲載しているものから
新しく発行されたURLやQRコードに差し替えて頂くなどの必要がございます。
登録フォームやマイページなどのソースコードを自社のHPに貼り付けている場合
登録フォームやマイページのフォーム入力欄を自社のHPに貼り付けているユーザ様は
「更新」ボタンを押すことにより、ソースコードに一部コードが追加されます。
お手数ですが、「更新」ボタンを押すとそのままでは遷移できなくなってしまうため、
再度ソースコードを出力して頂き、貼り付け直してください。
対応が必要なフォーム機能
対象のフォーム名 | 設定箇所 |
---|---|
登録フォーム | グループ配信、ステップメール |
解除フォーム | グループ配信、ステップメール |
マイページ | グループ配信、ステップメール |
メールアドレス変更フォーム | 顧客データベース |
バックナンバー | グループ配信 |
※マイページとメールアドレス変更フォームの併用はできません。
注意事項
①:「更新」ボタンを押すとURLやQRコードが変わり、既存のものは利用できません。
②:「更新」ボタンを押すと更新する前のURLやQRコードに戻すことができません。
③:「更新」ボタンを押すとそれ以前にメール内に挿入していた解除フォームURLや
マイページURLなどにもアクセスできなくなります。
本件についてご不明な点がございましたら、本サポートセンターまでご相談ください。
今後とも「配配メール」をお引き立て賜りますようお願い致します。
株式会社ラクス「配配メール」サポートセンター