最近、お名前.comでドメインを取得・管理している方から、次のようなメールが届いたという相談を受けることがあります。
ネットde診断【未実施】
突然このようなメールが届くと、「詐欺メールなのか?」「何か危険な状態になっているのか?」と不安になる方も多いでしょう。実際に私のところにも、複数のクライアントから同じ相談が届いています。
結論から申し上げます。このメールはお名前.comが送信する正規のメールであり、受信したからといってサイトが即座に危険な状態であることを意味するわけではありません。
この記事では、WordPressサイトの開発・運用・保守サポートを行っているエンジニアの立場から、まず非エンジニア向けにわかりやすく解説し、後半ではエンジニア・技術者向けの詳細な解説・対策コードもご紹介します。
難しい話は抜きにして知りたい方へ:まずここだけ読んでください
「ネットde診断」とは何か
「お名前.com ネットde診断」は、2023年9月にお名前.comが提供を開始したWebサイトのセキュリティ診断サービスです。あなたのサイトに外部から攻撃できる弱点(脆弱性)がないかを自動でチェックしてくれるサービスで、診断結果はA〜Eの5段階で評価されます。
このサービスには、無料で受けられる簡易版(自動診断)と、月額料金を払って継続的に受けられる有料版(定期診断プラン)の2種類があります。
| 種別 | 料金 | 内容 |
|---|---|---|
| 自動診断(無料・簡易版) | 無料 | 有料版未契約のドメインに1回限り自動実施。機能・精度に制限あり |
| 有料版(定期診断プラン) | 月額330円(税込)+サービス維持調整費 | 月1回の定期診断+即時診断を月1回無料で実施 |
| 初月 | 無料 | 月末までに解約すれば課金なし |
| お名前.comレンタルサーバー(RSプラン)利用者 | 実質無料 | 毎月330円のキャッシュバックにより実質0円で利用可能 |
このメールは詐欺?本物?
「ネットde診断」に関連するメールは、お名前.comから送信される正規のメールです。ただし、お名前.comを装った偽のメール(フィッシングメール)も継続的に報告されているため、注意が必要です。
不安な場合は、メール内のリンクをクリックせず、ブラウザのブックマークや直接入力でお名前.comの管理画面(Navi)にアクセスして確認するのが最も安全です。
正規メールかどうかを判断するシンプルなポイントは、本文の中に「お名前ID」「契約しているドメイン名」「契約しているサービス名」が具体的に記載されているかどうかです。これらの情報がないメールはフィッシングの疑いがあります。
「未設定=危険」という表現の意味
届くメールには「乗っ取られ」「攻撃」「改ざん」「危険性」といった強い言葉が使われていることがあります。
しかし実際には、「未設定」とは「有料の診断サービスを契約していない」という意味であり、「あなたのサイトが今すぐ危険な状態にある」という意味ではありません。
WordPressやプラグインを常に最新の状態に保ち、基本的なセキュリティ対策を実施しているサイトであれば、診断サービスを未契約だからといって緊急に危険というわけではありません。
有料プランは必要?判断の目安
有料版(月額330円〜)が役立つかどうかは、サイトの状況によって異なります。
こんな方は検討してみてください
- 社内にIT担当者がおらず、サイトの安全性を定期的にチェックしたい
- お客様の個人情報や決済情報を扱うサイトを運営している
- お名前.comのレンタルサーバー(RSプラン)を利用中で、実質無料で使える
急いで契約しなくていい方
- WordPressやプラグインをこまめに更新している
- 強いパスワードを設定していて、定期的なバックアップも取っている
- エンジニアや制作会社がサイトを管理・保守している
まず基本的なセキュリティ対策を確認・実施することが先決です。診断サービスはその次のステップとして検討しましょう。
WordPressサイトの基本セキュリティ対策チェックリスト
診断サービスよりも先に、以下の基本対策が実施できているかを確認してみてください。
- ✅ WordPress本体・プラグイン・テーマを最新バージョンにアップデートしている
- ✅ 使っていないプラグイン・テーマを「削除」している(無効化だけではNG)
- ✅ セキュリティプラグインを導入し、適切に設定している
- ✅ 管理者のパスワードが長くランダムな文字列になっている
- ✅ サーバーのWAF(不正アクセス防止機能)が有効になっている
- ✅ 定期的にバックアップを取得している
自動診断メールを止めたい場合
「診断メールが届くのが気になる」「停止したい」という場合は、お名前.comの管理画面(Navi)から設定できます。
- お名前.comの管理画面(
https://navi.onamae.com/)にログインします - メニューから「ドメイン」→「ネットde診断」へ移動します
- 自動診断の設定画面で「停止する」を選択します
停止後は自動診断の実施・通知メールが届かなくなります。
無料で試せる:GMOセキュリティ24のサイトリスク診断
「自分のサイトの状態をまず確認してみたい」という方に、GMOセキュリティ24(group.gmo/security/)の無料診断もあわせておすすめします。GMOグループが提供するサービスで、ドメインを入力するだけで無料で診断を受けられます。
ネットde診断との大きな違いは、完全無料・自分のタイミングで手動実施できる点です。自動で勝手に診断されることも、有料プランへの誘導もありません。
| 診断カテゴリ | 内容 |
|---|---|
| Webサイト脆弱性診断(簡易) | 外部から攻撃できる弱点がないかをチェック |
| SSL診断 | SSL証明書・TLS設定の安全性を確認 |
| なりすまし診断 | 自分のドメインがメール詐欺に悪用されるリスクを確認(DMARC等) |
| クラウド利用・リスク診断 | クラウドサービス利用に関するリスクを確認 |
「まず無料で現状把握したい」という方は、ネットde診断の前にこちらを試してみるのもよい選択肢です。
実際に私自身も edel-hearts.com で診断を実施しました。結果の詳細な読み方・対処法については、別途記事として詳しくご紹介予定です。
エンジニア・技術者向け:診断結果の読み方と具体的な対策
ここからは、WordPressの保守・開発に携わるエンジニアや、自分でサイトを技術的に管理している方向けの詳細解説です。診断結果の正しい読み方、WordPress固有の対策コード、WAFの限界まで踏み込んで解説します。
フィッシングメールとの見分け方:技術的な確認ポイント
お名前.comの正規メールの送信元アドレスは shindan-noreply@onamae.com と確認されています。ただし、Fromヘッダーは技術的に偽装が可能なため、アドレスだけで正規メールと断定することはできません。受信メールのSPF・DKIMレコードの検証結果(メールヘッダーの Authentication-Results)を確認する習慣をつけると、より確実な判断ができます。
お名前.comの正規ドメインは以下の通りです。メール内リンクのURLがこれ以外のドメインを含む場合は要注意です。
| 用途 | 正規URL |
|---|---|
| 管理画面(Navi) | https://navi.onamae.com/ |
| 申込み画面 | https://cart.onamae.com/ |
| サービスページ | https://www.onamae.com/ |
| FAQ・ヘルプ | https://help.onamae.com/ |
| レンタルサーバーコントロールパネル | https://cp.onamae.ne.jp/ |
診断結果の読み方:「対処不要」な項目がある
自動診断(無料・簡易版)の結果でD・E判定が表示されると驚く方も多いですが、ここで重要な点があります。
お名前.comの公式ヘルプには、「レンタルサーバーの仕様上、ユーザー側で対処する必要のない検出項目が含まれる」と明記されています。
共有レンタルサーバー利用時に「対処不要」とされる代表的な検出項目は以下の通りです。
| 検出項目 | 理由 |
|---|---|
| FTPプロトコルが有効 | サーバー側の仕様。ユーザーが無効化できない |
| SSHプロトコルが有効 | 同上 |
| HSTS未設定 | サーバー設定に依存するため、共有サーバーでは制御不可 |
| バージョン情報がレスポンスヘッダーに含まれる | サーバー側のヘッダー設定に依存 |
診断結果は「自分で対処できる項目」と「サーバー仕様上対処不要な項目」に切り分けて読むことが重要です。D・E判定であっても、その大半が後者で構成されている場合も少なくありません。
WordPress固有の検出項目と対策コード
CMS診断でWordPressサイトに対して検出されやすい項目のうち、自分で対処可能なものを解説します。
1. WordPressのバージョン情報の公開
HTMLソースの <meta name="generator"> タグやRSSフィードにWordPressのバージョンが含まれると、特定バージョンの既知脆弱性を狙った攻撃に利用される可能性があります。子テーマの functions.php に以下を追加することで対処できます。
|
1 2 3 4 5 |
/** * WordPressのバージョン情報を非表示にする */ remove_action('wp_head', 'wp_generator'); add_filter('the_generator', '__return_empty_string'); |
2. REST API経由のユーザー名列挙
/wp-json/wp/v2/users エンドポイントにアクセスすると投稿者のユーザー名が取得できる状態は、ブルートフォース攻撃の足掛かりになります。以下のコードでエンドポイントを削除できます。
|
1 2 3 4 5 6 7 8 9 10 11 12 |
/** * REST APIからのユーザー情報取得を制限する */ add_filter('rest_endpoints', function($endpoints) { if (isset($endpoints['/wp/v2/users'])) { unset($endpoints['/wp/v2/users']); } if (isset($endpoints['/wp/v2/users/(?P<id>[\d]+)'])) { unset($endpoints['/wp/v2/users/(?P<id>[\d]+)']); } return $endpoints; }); |
WooCommerceなど一部のプラグインはこのエンドポイントに依存している場合があります。適用後は必ず動作確認を行ってください。
3. readme.html・license.txt の公開
WordPressのインストール直後から存在するこれらのファイルには、バージョン情報が含まれる場合があります。.htaccess に以下を追記することで直接アクセスを制限できます。
|
1 2 3 4 |
# WordPressの情報開示ファイルへのアクセスを制限 <FilesMatch "^(readme\.html|license\.txt|wp-config\.php\.bak)$"> Require all denied </FilesMatch> |
WordPressの脆弱性統計:2025〜2026年の現状
セキュリティ調査会社Patchstackの「State of WordPress Security 2026」レポートによれば、2025年に発見されたWordPress関連の脆弱性は年間11,334件(前年比+42%)に達しました。そのうち96%がプラグイン由来であり、WordPress本体(コア)由来はわずか7件(2024年)にとどまります。
高深刻度の脆弱性が公開されると、24時間以内に大規模な悪用が始まるケースが報告されています。プラグインのアップデートを後回しにするリスクは年々高まっており、自動更新の活用も検討してください。
WAFの効果と限界
お名前.comのレンタルサーバーには、JP-Secure(現EGセキュアソリューションズ)製のSiteGuardが標準搭載されており、SQLインジェクションやXSSといった一般的な攻撃をサーバーレベルで無料で遮断できます。
ただし、WAFには明確な限界があります。Broken Access Control(権限制御の不備)を利用した攻撃は、正常な認証済みリクエストに見えるためWAFでの検知が困難です。2025年の脆弱性傾向でも、このカテゴリは最多クラスに位置しています。WAFはあくまで多層防御のひとつとして位置づけ、プラグイン・テーマの更新、最小権限の原則、定期バックアップとの組み合わせが不可欠です。
エンジニア視点での優先対策まとめ
診断サービスの要否を判断する前に、以下の対策の実施状況を確認してください。優先度の高い順に並べています。
- WordPress本体・プラグイン・テーマの即時更新:使っていないプラグイン・テーマは必ず削除する(無効化だけではコードが残りリスクになる)
- 強力なパスワード+2要素認証:管理者アカウントの認証強化はブルートフォース対策の基本
- SiteGuard(WAF)の有効化:お名前.comのレンタルサーバーは標準搭載。管理画面で有効になっているか確認する
- ログイン試行制限・reCAPTCHAの導入:SiteGuard WP Pluginなどのセキュリティプラグインで対応可能
- 定期バックアップ体制の構築:UpdraftPlusなどを使い、外部ストレージ(Google Drive等)へ自動バックアップ
- バージョン情報・ユーザー名の非公開化:上記の対策コードを参照
これらの基本対策がすべて整った上で、さらなる安心を得るために診断サービスを定期利用するというのが、コストパフォーマンスの高い運用です。
まとめ
「ネットde診断 未実施」メールへの対応を、ITに詳しくない方とエンジニアそれぞれの視点から整理しました。
- 正規メールだが、フィッシングメールも報告されているため、URLを直接確認してからアクセスする習慣を
- 「未設定」は有料サービス未契約の意味であり、「今すぐサイトが危険」ではない
- 診断でD・E判定が出ても、レンタルサーバー仕様上対処不要な項目が含まれるため、項目ごとに判断が必要
- WordPressセキュリティの最優先事項は「更新」「パスワード管理」「WAF活用」「バックアップ」という基本対策
- 有料版は月額330円(初月無料)。RSプラン利用者は実質無料のため、条件に合う場合は検討の価値あり
私たちは、WordPressサイトのセキュリティ強化・プラグイン開発・保守サポートを提供しています。「うちのサイトは大丈夫か?」「セキュリティ対策を見直したい」という場合はお気軽にご相談ください。
よくある質問
Q: 自動診断のメールが届いていませんが、診断されていないということですか?
A: お名前.comの自動診断は1つのお名前IDに対して1日1ドメインずつ順次実施される仕組みで、日時の指定はできません。まだ実施されていないか、迷惑メールフォルダに振り分けられている可能性があります。
Q: D判定・E判定が出ました。すぐ有料版を契約すべきですか?
A: 結果の内容を確認するのが先決です。レンタルサーバー仕様上ユーザーが対処できない項目(FTP有効・HSTS未設定など)が含まれている場合は、判定を深刻に受け取る必要はありません。自分で対処可能な項目(WordPressのバージョン情報公開、プラグインの更新など)を優先して対応し、それでも不安な場合に有料版を検討するのが現実的な順序です。
Q: お名前.com以外のサービスを使っていますが、関係ありますか?
A: 「ネットde診断」はお名前.comのサービスのため、他社をご利用の場合は対象外です。ただしWordPressのセキュリティ対策(更新・WAF・バックアップ等)はどの環境でも共通して重要な基本対策です。
Q: WordPressを使っていませんが、メールへの対応方法は変わりますか?
A: 基本的な対応方針(メールの真偽確認・自動診断の停止・有料版の要否判断)は同じです。CMSを使わない静的サイトはWordPressに比べてセキュリティリスクが低いことが多く、有料版の必要性はさらに下がります。
WordPressサイトのセキュリティ強化やカスタマイズ、保守サポートでお悩みの場合は、WordPressカスタマイズ・プラグイン開発サービスをご検討ください。また、技術的なスキルアップを目指す方にはWordPress顧問エンジニアサービスもおすすめです。
