コラム

「自分から自分に届く謎のメール」の正体とは?Google Cloudボット・問い合わせフォーム悪用の実態と正しい対処法

はじめに

ある日突然、「Agency Help」など身に覚えのない件名で、自分のメールアドレスから自分のメールアドレス宛にメールが届く
しかも内容は「Hello.」だけ。

このような不可解なメールを受け取ったとき、多くの方が次のように感じます。

  • メールアカウントが乗っ取られたのでは?
  • 自分のサーバーが攻撃されている?
  • 何か重大なセキュリティ事故が起きているのでは?

結論から言うと、ほとんどの場合、深刻な侵入や乗っ取りではありません。
しかし同時に、放置してよい問題でもありません。

この記事では、

  • なぜ「自分から自分に」メールが届くのか
  • Google Cloud上のボットとは何者なのか
  • 問い合わせフォームがどのように悪用されるのか
  • 本当に危険なケースと、そうでないケースの見分け方
  • Webサイト運営者が必ず行うべき具体的対策

を、実例ベースでわかりやすく解説します。

この記事でわかること

  • 正体不明メールの仕組み
  •  フォーム経由スパムの実態
  •  安心してよいケース/危険なケースの判断基準
  •  今すぐできる現実的な対策

「自分のアドレスから自分に来るメール」は珍しくない

まず知っておいていただきたいのは、
 差出人と宛先が同じメールが届くこと自体は、決して珍しくないという事実です。

メールという仕組みは、封筒に書かれた差出人住所のように、
 「From欄はいくらでも偽装できる」構造になっています。 ただし今回のケースでは、単純な差出人偽装とは少し事情が異なります。

今回の事例の特徴整理

今回のメールには、次のような特徴がありました。

  • 件名は「Re:」や意味不明な英語
  • 本文は「Hello.」だけ
  • From と To が同じメールアドレス
  • Google Cloud(googleusercontent.com)経由の通信履歴
  • ロリポップのメールサーバーから正規送信されている
  • SPF や DMARC は pass している
  • 迷惑メール判定は Yes

これらの情報から、かなり高い精度で原因を特定できます。

Google Cloud上のボットとは何か

「Google Cloudから送られてきた」と聞くと、
 Google自身が何かしているように感じるかもしれません。

しかし実態は違います。

Google Cloudは、いわば巨大な貸しサーバーです。
個人・法人・海外業者・スパマーなど、誰でも使えます。

スパム業者は、

  • IPアドレスが頻繁に変えられる
  • 信頼性が高くブロックされにくい
  • 大量送信が容易

といった理由から、Google CloudやAWS上にボットを立てることが非常に多いのです。

重要なのは、

Google Cloud=攻撃元
あなたのサイト=侵入口
あなたのメールサーバー=実行者

という役割分担になっている点です。

メールは「直接」送られていない

今回のケースで最も誤解されやすいポイントがあります。

それは、Google Cloudのボットが、あなたに直接メールを送ったわけではないという点です。

実際に起きている流れは次の通りです。

  1. Google Cloud上のボットが、あなたのWebサイトにアクセス
  2. 問い合わせフォームなどに自動入力
  3. メールアドレス欄に「info@あなたのドメイン」を入力
  4. フォームが送信される
  5. サイト側の処理として、ロリポップのメールサーバーがメールを生成
  6. 正規メールとして配信される
  7. 転送設定により別アドレスにも届く

つまり、メールを送ったのは攻撃者ではなく、あなた自身のシステムなのです。

なぜ「自分から自分に」見えるのか

原因は、問い合わせフォームの設計にあります。

多くのフォームでは、次のような設定がされています。

  • From(送信元):フォームで入力されたメールアドレス
  • To(宛先):管理者メールアドレス

これは一見便利ですが、非常に危険です。

ボットがメールアドレス欄に
「info@あなたのドメイン」
と入力すれば、

From: info@あなたのドメイン
To: info@あなたのドメイン

というメールが生成されます。 これが「自分から自分に来た」ように見える正体です。

「Hello.だけ」のメールは何を意味するのか

本文が極端に短いメールには、はっきりした意味があります。

これは、
スパムボットがフォームの生存確認をしている
いわばテスト送信です。

  • フォームが存在するか
  • 送信できるか
  • メールが通るか

これを確認するために、最小限の文字列だけが送られます。

実際、本文が base64 でエンコードされている点も、自動化されたボット特有の挙動です。

「Contactフォームならコメントが入る」は正しい判断か

ここで重要な判断ポイントがあります。

「Contactフォームから送られたメールには、必ず下部に固定コメントが入る設定をしている。
 今回のメールにはそれがない。」

この考え方は、論理的にほぼ正しいです。

理由は以下の通りです。

  • 固定コメントはユーザー入力ではなくテンプレート
  • ボットが削除することはできない
  • 正規処理を通れば必ず付与される

したがって今回のメールは、

  • その設定済みのContactフォームではない
  • 別のフォーム、または未対策フォームの可能性が高い

と判断できます。

よくある「見落とされがちなフォーム」

実務で非常によくあるのが、次のようなケースです。

  • 昔作ったLP用の簡易フォーム
  • テスト用に作って消し忘れたフォーム
  • 非公開ページや下書きページのフォーム
  • プラグインの初期サンプルフォーム
  • 管理者自身が存在を忘れているフォーム

「このフォームには対策していない」というものが、スパムに真っ先に狙われます。

危険なケースと、安心してよいケースの見分け方

安心してよいケース

  • 送信済みに同じメールが存在しない
  •  管理画面への不審ログインがない
  •  メール本文が極端に短い
  •  フォーム経由が疑われる

注意が必要なケース

  • 送信済みに覚えのないメールがある
  •  大量に同様のメールが届く
  •  管理画面に見覚えのない変更がある 今回の事例は、前者に該当します。

今すぐ行うべき現実的な対策

Fromアドレスを固定する

最重要対策です。

From: no-reply@あなたのドメイン
Reply-To: フォーム入力メール

これだけで、
「自分から自分に届く」タイプの問題はほぼ消えます。

reCAPTCHAを導入する

v3 または v2 を必ず導入してください。

本文文字数の下限を設ける

10文字未満は送信不可など、簡単でも効果があります。

フォームを棚卸しする

存在するフォームをすべて洗い出し、
設定を統一することが重要です。

まとめ

「自分から自分に届く謎のメール」は、
 多くの場合、フォーム悪用スパムという“設計上の問題”です。

侵入や乗っ取りといった深刻な事故ではない一方、
 放置するとスパムの踏み台になる可能性があります。

正しい知識を持ち、フォーム設計を少し見直すだけで、この種の問題はほぼ確実に防げます。

「よく分からないから不安」という状態から、
「仕組みが分かって対処できる」状態へ。

この記事がその一助になれば幸いです。

制作・リニューアル・運営サポートまで含めて、
今の状況に合った選択肢を一緒に整理することもできます。

答えが出ていなくても問題ありません。
まずは迷っていることを、そのまま相談してみることが、
後悔しないホームページ制作への近道です。

ご依頼・ご相談はこちら
公式LINEはこちら

中小企業関連記事

中小企業関連記事一覧
ABOUT US
アバター画像
ozasaオフィスピコッツ株式会社代表取締役社長
1971年奈良県生まれ。京都・滋賀を中心にWeb制作・DX支援を行うオフィスピコッツ株式会社代表取締役。制作歴25年以上、官公庁・大手企業から中小まで多様なサイトを手掛け、Webアワードでの受賞歴多数。ホームページ制作、リニューアル、SEO、補助金活用、多言語EC・オンラインショップ運営支援までワンストップ提供するWebマーケティングのプロ。新規事業立ち上げ支援や自治体DX、各種プロジェクトのアドバイザー、大学校・高校講師、PTA会長など活動は多岐にわたる。琵琶湖観光PRにも情熱を注ぎ、地域企業の売上向上と持続的成長を伴走型で支援し、日々研鑽を続けている。