【スパム対策】「Re:」件名の迷惑メールが、公開していないはずのアドレスに届く！その正体と3つの対策

2026年2月7日

「サイトの内容に関連した『Re:』や『Reply』という件名のメールが大量に来るようになった。しかも、お問い合わせフォームの通知用には設定していないはずのメールアドレスに届く…これって乗っ取られたの？」

サイトが乗っ取られたわけではありませんが、
ボット（自動プログラム）に「攻撃対象」としてロックオンされている状態です。

この記事では、なぜ「設定していないはずのアドレス」に届くのかという疑問を解消し、不気味な迷惑メールをピタリと止める手順を解説します。

1. なぜ「設定していないアドレス」に届くのか？

「フォームの送信先は『info@~』にしているのに、なぜか個人の『private@~』に届く」

この不可解な現象には、主に2つの原因があります。

WordPressなどで一番多いケースです。

例えば、有名なプラグイン「Contact Form 7」などの初期設定では、メールの送信先が [_site_admin_email] （サイトの管理者メールアドレス）になっていることがあります。

つまり、フォームの設定画面で送信先を書き換えたつもりでも、「予備の送信先」や「管理者通知」の設定が残っており、そこがWordPressの初期設定時に入力した（あなたの個人の）メールアドレスになっている可能性があります。

もし、届いているメールが「フォームからの通知」の形式ではなく、直接そのアドレスに届いているなら、サイトのどこか（フッターやプライバシーポリシー、あるいはHTMLソースコードの中）に、そのメールアドレスが記載されていませんか？

ボットはサイトの文章だけでなく、隠れたコード内のメールアドレスも自動で収集し、そこへ向けて「フォームからの問い合わせ」を装ったメールを直接送りつけてくることがあります。

件名に「Re:」をつけて、あたかも以前からのやり取りのように見せるのは、開封率を上げるための常套手段です。

「気持ち悪いから早く止めたい」という方のために、効果が高い順に対策を紹介します。

どのアドレスに届くにせよ、元凶は「ボット」です。まずは入り口を塞ぎましょう。

「私はロボットではありません」というチェックボックスを設置する、あれです。

「なぜこのアドレスに？」を解決するために、設定を見直します。

フォームの送信先チェック:お問い合わせフォームの設定画面を開き、「送信先（To）」や「メール2（自動返信など）」の項目を確認してください。ここに [_site_admin_email] というコードが入っている場合、WordPressの「設定」>「一般」にある「管理者メールアドレス」に送信されます。
管理者アドレスの変更:もし個人のアドレスに届いて困る場合は、WordPressの管理者メールアドレスを、サイト運営用の専用アドレスに変更しましょう。

もしメールが「フォーム経由」ではなく「直メール」で来ている場合（原因②のパターン）、サイト上にテキスト（文字）でメールアドレスを載せるのをやめましょう。

これだけで、ボットによる自動収集を防ぐことができます。

急に知らないアドレスにメールが来ると「ハッキング？」と不安になりますが、仕組みは単純な設定の問題やボットの巡回によるものです。

この3つを行えば、嘘のように静かになるはずです。落ち着いて設定を見直してみてくださいね。

本記事は、Webセキュリティの一般的な対策および以下の情報を元に作成しています。

Google reCAPTCHAボット対策の世界的な標準ツールです。URL: https://www.google.com/recaptcha/about/

Contact Form 7 ドキュメンテーション（WordPressの場合の参考）メール設定のタグ仕様について。URL: https://contactform7.com/ja/setting-up-mail/

IPA（情報処理推進機構）メールセキュリティやスパム対策の基礎知識について。URL: https://www.ipa.go.jp/security/

よかったらシェアしてね！