reCAPTCHA v3の確認「最新版」

エックスサーバーから届いた【問い合わせフォームを悪用したスパムメールに関する注意喚起メール】をきっかけに、改めて自分のブログのセキュリティ設定を見直しました。
WordPressでお問い合わせフォームを設置している方なら、決して他人事ではありません。今回は、エックスサーバーの担当者さんから直接聞いた話と、私自身が実際に確認・対応した「reCAPTCHA v3」の設定状況について、初心者の方にも分かりやすくまとめます。

エックスサーバーからのメール

エックスサーバーから以下のメールが届きました

━━━最新ニュース━━━━━━━━━━━━━━━━ 2025年 3月18日 ━━

　【注意喚起】問い合わせフォームの自動返信機能を悪用したスパムメール送信と対策について

━━━━━━━━━━━━━━━━━━━ https://www.xserver.ne.jp/ ━━

2025年1月頃から、WordPressの問い合わせフォーム用プラグインや
PHP・Perlで作成された問い合わせフォームを悪用し、お客様のWebサイトを介して
大量のスパムメールが不正送信される事例が急増しています。

Webサイトに問い合わせフォームを設置されているお客様は、
reCAPTCHAの導入などセキュリティ対策の実施をお願いいたします。

※不正利用・不正アクセスが確認または疑われる場合、後述の問題を回避するため
　お客様のサイト上において弊社にて一部国外からのアクセスを制限する場合があります。

———————————————————————-

■発生している問題と影響
　問い合わせフォームの自動返信機能が悪用され、
　第三者がお客様のサイトを経由して大量のスパムメールを不正送信しています。

　【不正送信による主な影響】
　・お客様のメールアドレスが迷惑メール送信元として判定される
　・お客様が送信するメールが受信拒否される
　・メール送信数が上限に達することで、お客様のメール送信ができなくなる

■推奨対策（優先度順）
　1. reCAPTCHA v3の導入
　　 ロボットによる自動送信を防止するため、最新の認証システムを設置してください

　2. 自動返信メール機能の無効化
　　 問い合わせフォームの自動返信機能を悪用した大量のスパムメール不正送信を確認しています。
　　 スパム送信に悪用されやすい自動返信機能を一時的に無効にしてください

　3. プログラムの最新版へのアップデート
　　 セキュリティ上の観点から、WordPress等のプログラムは常に最新バージョンに更新してください

　対策方法の詳細については、下記マニュアルをご参照ください。

　◇関連マニュアル
　　メールフォームを悪用した不正アクセス対策ガイド
　　https://www.xserver.ne.jp/manual/man_malicious_mailform.ph

エックスサーバーをお使いの方には同じメールが届いているかと思います。今回たまたまエックスサーバーの方からお話を聞く機会がありましたので、皆様に私が聞いたことをお届けします。

メールの内容を簡単に要約すると

上記のメールを要約すると、WordPressの問い合わせフォーム用プラグインやPHP・Perlで作成された問い合わせフォームを付けているとそれを悪用して大量のスパムメールを送ってくるということです。

このブログはサーバーは「エックスサーバー」テーマは「cocoon」です。お問い合わせフォームも「Contact Form 7」というプラグインで入れています。上記の事例にあてはまります(；´Д｀)

もし、スパムメールと気づかずに開いてしまったら・・・

このスパムメールはいろんな企業のアドレスそっくりに送ってくるようです、何を書いているのかわからないような全文英語で書いていたり、知らない企業や知らない個人名の方からのメールなら、あやしいと思ってメールを開かないかもしれませんが、使用・契約している企業からのメールだった場合自信はありません、エックスサーバーサンの方でもあやしいのは事前にブロックしたりしてくれているみたいですが、絶妙なタイミングで送ってくるのでブロックも今の所は難しいようです。（あれこれ、対策は進行中みたいです）

そこで、エックスサーバーの方に質問してみました。

怖いですね(；´Д｀）なんとか対策をしないとです！

推奨対策-reCAPTCHA v3の導入（当ブログの実体験）

当ブログでは、以前エックスサーバーの案内に従い、Cocoon側でreCAPTCHA v3にチェックを入れるだけでよいという説明を受け、その方法で設定していました。
当時はこの方法で問題なく動作しており、特に不具合もありませんでした。

しかしその後、仕様変更によりCocoonではreCAPTCHA v3が正常に動作しなくなり、お問い合わせフォームのスパム対策が十分に機能しない状態になってしまいました。

そこで改めて設定を見直し、現在は
reCAPTCHA v3対応のプラグインを使用し、サイトキー・シークレットキーを正しく設定する方法に切り替えています。
この方法に変更してからは、reCAPTCHA v3が安定して動作するようになり、現在もこの構成で運用しています。

WordPressやテーマ、プラグインの仕様は途中で変わることがあるため、**「以前はできた方法が、今は使えない」**というケースも珍しくありません。
そのため、現在はプラグイン側で明確に設定・管理できる方法を選んでいます。

※reCAPTCHAの設定方法は、テーマやプラグインの仕様変更により変わる場合があります。
現在うまく動いていない場合は、最新の設定方法を必ず確認してください。

reCAPTCHAの確認方法（2026年現在）

以前はContact Form 7の管理画面上に、reCAPTCHAが有効になっているかを確認できる表示がありましたが、
現在は仕様変更により、その表示は確認できなくなっています。

そのため、現在は以下の方法で確認するのが確実です。

1．Contact Form 7のインテグレーションを確認する
WordPress管理画面の
お問い合わせ → インテグレーション
を開きます。

そこに

• reCAPTCHA の項目が表示されている

状態であれば、reCAPTCHA v3は「対応していることの確認」ができます

2．reCAPTCHA v3対応プラグインが有効か確認する
Contact Form 7とは別にreCAPTCHA v3用のプラグインを使用している場合は、
そのプラグインが「有効」になっていることを確認してください。

ダッシュボード＞「プラグイン」＞reCAPTCHA 私が今導入しているのは「Advanced Google reCAPTCHA 」です＞「設定」＞「captcha」の中に「サイトキー」と「シークレットキー」があるのでそこにキーが入力されていれば、
reCAPTCHA v3が設定されていることを管理画面上で確認できます。

---

まとめ

今回のエックスサーバーからの注意喚起メールを通して、お問い合わせフォームは便利な反面、悪用されるリスクもあるということを改めて実感しました。
特にWordPressでContact Form 7などのフォームプラグインを使っている場合、reCAPTCHA v3の導入は「必須レベルの対策」だと思います。

スパムメールは開いただけでは被害はないものの、
リンク先で

• メールアドレス
• パスワード
• クレジットカード情報

などを入力してしまうと、情報を抜き取られる危険があります。
「契約している会社からのメールに見える」ケースもあるため、少しでも怪しいと感じたら絶対に入力しないことが大切です。
この機会にぜひ一度、
「本当にreCAPTCHAが有効になっているか」
を確認してみてくださいね。

セキュリティ対策は、何か起きてからでは遅いです。
できるところから、少しずつ対策していきましょう。

※reCAPTCHA v3は仕様変更が入りやすいため、
今後も設定画面や確認方法が変わる可能性があります。
この記事は2026年時点の情報として参考にしてください。