SSL証明書の有効期限が切れますという英語メールが届いて、慌てて記載のリンクをクリックしそうになった経験はないでしょうか。この種のメールは、本物のサーバー会社や認証局からの正規通知と、それらを装ったフィッシング詐欺の両方が混在しています。本記事では、本物と詐欺の見分け方、本物だった場合に最初にやるべき確認手順、放置するとサイトに何が起きるかを、運用保守の現場視点で解説します。
SSL証明書の期限切れメールは本物と詐欺が混在している
結論として、近年のSSL期限切れ通知メールは、本物よりも詐欺のほうが圧倒的に多く届きます。理由は単純で、大半のサイトが無料SSL(Let’s Encrypt)を使っており、本物の期限切れ通知が来ること自体が稀になっているためです。
大半のサイトは無料SSLで自動更新されているため本来は通知が来ない
現在の中小企業サイトでは、サーバー会社が提供する無料SSL(多くはLet’s Encrypt)が標準利用されています。Let’s Encryptの仕様では証明書の有効期限が90日と短く設定されており、サーバー側が60日ごとに自動で更新する仕組みになっています(出典 Let’s Encrypt Why ninety-day lifetimes for certificates?)。なお、Let’s Encryptは2028年2月までに証明書の有効期限を90日から45日へ段階的に短縮する計画を公式発表しており(出典 Let’s Encrypt Decreasing Certificate Lifetimes to 45 Days)、今後はさらに自動更新の重要性が高まります。自動更新が正常に動いている限り、サイト管理者に「期限切れ通知」が届くこと自体が基本的にありません。
本物の通知が来るのは特定の条件下に限られる
本物のSSL期限切れ通知が届くのは、有料SSL証明書を使用している、自動更新が技術的に失敗している、サーバー会社側の不具合といった限られたケースです。逆に言えば、心当たりがないのにSSL関連の警告メールが届いた場合、まずは詐欺を疑うべきです。
フィッシング報告件数は月10万件超で過去最多水準
フィッシング対策協議会の月次報告によれば、フィッシング報告件数は2024年以降、毎月10万件超で推移しており過去最多水準が続いています(出典 フィッシング対策協議会 月次報告書)。サーバー会社・ドメイン会社・大手ECサイトを装ったメールが急増しており、SSL関連の偽通知もその一部です。
本物のSSL期限切れ通知メールに共通する特徴
本物のメールには、送信元・本文の構造・誘導先のURLに一定の共通点があります。逆に言うと、これらが揃っていない場合は本物の可能性が低いと判断できます。
送信元ドメインが契約中のサーバー会社や認証局と完全一致している
本物の通知は、契約しているサーバー会社の公式ドメインから送られます。たとえばエックスサーバー契約者にはxserver.ne.jp、さくらインターネット契約者にはsakura.ad.jp、ConoHa WING契約者にはconoha.jpといった公式ドメインからの送信です。これと1文字でも違うドメインから来ているものは詐欺と判断して問題ありません。
本文中のURLが契約中サーバーのコンパネを指している
本物のメールに記載されているリンク先は、契約しているサーバーの管理画面(コントロールパネル、通称コンパネ)です。ログイン後の操作を求める形になっており、見慣れない外部サイトに飛ばすことはありません。
契約者名や契約IDや対象ドメイン名が本文に記載されている
本物の通知は、誰の・どの契約の・どのドメインの・いつまでの有効期限の話なのかが具体的に記載されています。「お客様のSSL証明書」とだけ書かれて対象ドメインが明示されていないメールは怪しいと判断してください。
主要サーバー会社の本物の差出人ドメイン
| サーバー・ドメイン会社 | 本物の差出人ドメイン例 |
|---|---|
| エックスサーバー | @xserver.ne.jp |
| さくらインターネット | @sakura.ad.jp |
| ConoHa WING | @conoha.jp |
| ロリポップ | @lolipop.jp |
| お名前.com | @onamae.com |
| ムームードメイン | @muumuu-domain.com |
SSL期限切れを装う詐欺・フィッシングメールの典型パターン
詐欺メールには「焦らせる文面」「微妙に違う送信元」「短縮URL」など、共通する特徴があります。1つでも当てはまれば詐欺と判断して問題ありません。
24時間以内に更新しないとサイトが停止しますと急かしてくる
本物の通知は、期限切れの数週間前から段階的に通知が始まり、強く急かす文面にはなりません。一方で詐欺メールは「24時間以内」「本日中」「即時対応が必要」など、確認の時間を与えないように焦らせてきます。判断を急がせる文面はそれ自体が詐欺のサインと考えてください。
送信元アドレスのドメインが本物に似せた偽ドメインになっている
詐欺メールの送信元は、本物のドメインに似せた偽ドメインから送られます。具体的にはxserver-jp.com、sakura-net.com、conoha-support.com、onamae-secure.netなど、本物に似ているが本物ではないドメインを使います。差出人の@以降のドメインを必ず1文字単位で確認してください。表示名だけ「エックスサーバー株式会社」と偽装するのは技術的に簡単なので、表示名は信用してはいけません。
クリック先がHTTPSではない・短縮URL・見慣れぬドメイン
本文中のリンクがhttpで始まっている、bit.lyやtinyurlなどの短縮URLになっている、契約していないサーバー会社のドメインに飛ばすといった場合は詐欺です。マウスをリンク上に乗せると左下にURLが表示されるブラウザの機能で、クリック前に確認できます。
クレジットカード情報やログインIDを直接入力させようとする
本物のサーバー会社は、メール内のリンクから直接クレジットカード情報を入力させることはありません。コンパネにログインしてから操作する流れが基本です。リンク先のページがいきなりカード情報を求めてきたら確実に詐欺です。
日本語が不自然・英文が機械翻訳調
「お客様のSSL証明書は満了になります」「直ちに更新を行なってください」など、自然な日本語として違和感のある文面は詐欺の典型です。英語メールの場合も、文法的に崩れている、特定の単語だけ大文字になっている、Dear Customerだけで宛名がない、といった場合は機械翻訳の可能性が高くなります。
件名に【重要】【緊急】などの装飾記号が多用されている
本物のサーバー会社からの通知は、件名がシンプルで「【エックスサーバー】SSL証明書有効期限のお知らせ」のような形式です。一方で詐欺メールは「【重要】【緊急対応】【最終警告】SSL証明書の停止につきまして」のように装飾記号が複数連続したり、警告調の単語を並べたりする傾向があります。視覚的に目立たせて開封を促す典型的な手口です。
添付ファイルや「証明書を更新する」ボタンがメール本文に含まれている
本物のサーバー会社の通知メールに、SSL証明書のファイルが添付されることはありません。zipファイル・PDFファイル・HTMLファイルなどが添付されている場合、ウイルス感染や情報窃取を目的とした詐欺と判断してください。本文中に大きな「更新する」「今すぐ確認」ボタンが配置されている場合も、本物ではほぼ見られないパターンです。
近年は生成AIの活用により、自然な日本語の詐欺メールも増えています。文面の自然さだけで判断せず、必ず送信元ドメインと誘導先URLを確認してください。
メールが本物だった場合に最初にやるべき確認手順
本物と判断できた場合でも、メール内のリンクは絶対にクリックしないでください。確実な確認方法は、ブラウザを別途立ち上げて、契約中サーバーのコンパネに直接ログインすることです。
メール内リンクは踏まずブラウザでコンパネに直接アクセスする
サーバー会社の公式サイトを検索エンジンから探し、コントロールパネルに直接ログインしてください。エックスサーバーであればサーバーパネル、さくらインターネットであればさくらのコントロールパネル、ConoHa WINGであればコントロールパネルです。メールのリンクを使わない理由は、本物そっくりの偽サイトに誘導される可能性を完全に排除するためです。
コンパネのSSL設定画面で対象ドメインの有効期限を確認する
コンパネにログイン後、SSL設定の画面で対象ドメインの証明書情報を確認します。本物の期限切れであれば、ここに有効期限と更新状況が表示されます。表示が正常で期限も先であれば、届いたメールは詐欺です。
自社サイトにアクセスしてブラウザの鍵マークを確認する
自社のホームページにブラウザでアクセスし、アドレスバーの鍵マーク(または「i」のアイコン)をクリックします。「この接続は保護されています」と表示され、証明書の詳細を開いて有効期限が先の日付になっていれば問題ありません。証明書が本当に期限切れであればブラウザ自体が大きな警告を出すため、ユーザー側で気づかないことはまずありません。
判断がつかない場合はサーバー会社のサポートに電話で確認する
判断に迷う場合は、メールに記載されている電話番号ではなく、サーバー会社の公式サイトに掲載されているサポート窓口に電話で問い合わせてください。「このようなメールが届いたが本物か」と確認するだけで明確な回答が得られます。詐欺メール側が記載している電話番号に掛けると、それ自体が新たな詐欺に繋がるため絶対に使わないでください。
大半のサーバーは無料SSL(Let’s Encrypt)で自動更新される
そもそも現代のレンタルサーバーでは、無料SSLの自動更新が標準機能として組み込まれています。意識せず使っているサイトの大半は、自動的にSSL証明書が更新され続けている状態です。
Let’s Encryptは90日の有効期限で60日ごとに自動更新される
Let’s Encryptは、世界で最も広く使われている無料のSSL証明書発行サービスです。有効期限を90日と短く設定することで、漏洩時の影響を最小化する設計になっています。実運用では60日ごとにサーバーが自動更新を行うため、サイト管理者が手動で何かを行う必要はありません。なお有効期限は2028年2月までに45日へ段階的に短縮される予定ですが、自動更新が正常動作しているサイトであれば、利用者側の対応は必要ありません。
主要サーバー会社の無料SSL対応状況
| サーバー会社 | 無料SSL対応 | 自動更新 |
|---|---|---|
| エックスサーバー | 標準対応 | 標準で自動更新 |
| さくらインターネット | 標準対応 | 標準で自動更新 |
| ConoHa WING | 標準対応 | 標準で自動更新 |
| ロリポップ | 標準対応 | 標準で自動更新 |
| カラフルボックス | 標準対応 | 標準で自動更新 |
| mixhost | 標準対応 | 標準で自動更新 |
主要レンタルサーバーはすべて無料SSLと自動更新に対応しています。自動更新が有効である限り、SSL期限切れの通知メールが届くこと自体が異常事態と考えてください。
自社サイトのSSLがLet’s Encryptかどうかを調べる方法
自社サイトの証明書がLet’s Encryptで自動更新されているかどうかは、ブラウザだけで確認できます。Chromeで自社サイトを開き、アドレスバーの鍵マークをクリックして「この接続は保護されています」「証明書は有効です」を順にクリックしてください。発行者の欄に「Let’s Encrypt」「R3」「E1」「ISRG」といった文字列があれば、Let’s Encryptの自動更新が動いている状態です。発行者がDigiCertやGlobalSign、セコムなどになっている場合は有料SSLを使用しており、別途手動更新が必要です。
自動更新が失敗するパターンとその対処
本当に自動更新が失敗するケースもあります。代表的な失敗パターンを把握しておけば、本物の通知が来たときに迅速に対処できます。
DNSのAレコードが古いサーバーを向いている
サーバー移転を行ったあとに、ドメインのDNS設定(Aレコード)が古いサーバーを向いたままになっているケースです。Let’s Encryptはドメインの所有確認をDNS経由で行うため、Aレコードが正しい新サーバーを向いていないと自動更新に失敗します。サーバー移転後にSSL関連の通知が来た場合は、まずDNS設定の確認が必要です。
ベーシック認証が掛かっていて認証ファイルが配置できない
サイト全体にベーシック認証(IDとパスワードを求めるダイアログ)を掛けている場合、Let’s Encryptの認証用ファイルへのアクセスがブロックされて更新に失敗することがあります。テストサイトや会員制サイトでよく発生する症状です。サーバーによっては自動で除外設定が入っていますが、念のためコンパネで認証除外の設定を確認してください。
有料SSL証明書(DigiCert・GlobalSign等)を使っていて手動更新が必要
ECサイトや大手企業サイトでは、有料SSL証明書(DigiCert、グローバルサイン、セコムトラストシステムズなど)を使っているケースがあります。有料SSLは自動更新ではなく、毎年または2年ごとに手動更新と支払い手続きが必要です。本物の期限切れ通知が来るのは、多くの場合このパターンです。EV証明書(緑色の社名表示が出るタイプ)も同様です。
コンパネで「SSL自動更新」の設定がオフになっている
サーバー会社によっては、無料SSLの自動更新がデフォルトでオフになっていることもあります。または過去に何らかの作業でオフに切り替わっていることがあります。コンパネのSSL設定で「自動更新」のチェックを必ず確認してください。(弊社で引き継いだサイトでも、自動更新が無効のまま放置されていた事例が複数あります)
SSL期限切れを放置するとサイトと業務に起きること
本物の期限切れに気づかず放置すると、サイトは事実上機能停止します。問い合わせの取りこぼしや信頼失墜につながるため、確認には迅速さが求められます。
ブラウザに「保護されていない通信」と全画面の警告が出る
SSL証明書が期限切れになると、Chrome・Edge・Safariなど主要ブラウザはサイトにアクセスした時点で「この接続ではプライバシーが保護されません」「NET::ERR_CERT_DATE_INVALID」といった全画面の警告を出します。訪問者は赤い警告画面に直面するため、サイトを正しく閲覧できません。
大半の訪問者は警告画面で離脱する
弊社の運用現場の経験では、SSL期限切れの警告画面が出たサイトの直帰率は実質的に100%に近い状態になります。警告を無視して進めるユーザーはごく少数で、ほとんどの訪問者は「危険なサイト」と判断して即座に離脱します。問い合わせフォーム・予約・購入はすべて止まると考えてください。
Google検索の評価にも影響する
GoogleはHTTPSを検索ランキングのシグナルとして使用すると公式に発表しており、HTTPS化されていない(または証明書が無効な)サイトは検索順位において不利になります(出典 Google Search Central Blog HTTPS as a ranking signal)。短期間の期限切れであっても、検索流入の減少につながる可能性があります。
お問い合わせフォーム・カート機能が事実上使えなくなる
SSLが無効になると、フォーム送信時に「保護されていない通信を送信しようとしています」と警告が出ます。さらに最近のブラウザは安全でないフォーム送信自体をブロックする方向に進んでいるため、お問い合わせの取りこぼしが発生します。BtoBサイトでは商談機会の損失が直接の損害となり、ECサイトでは売上が止まります。
最後に
SSL証明書の期限切れを知らせる英語メールが届いたら、まず最初に疑うべきは詐欺の可能性です。大半のサイトは無料SSLで自動更新されているため、本物の通知が届くケース自体が稀になっています。本物か詐欺か迷ったら、メール内のリンクは絶対にクリックせず、ブラウザでサーバーのコンパネに直接ログインして確認するのが鉄則です。
Web管理では、月額1万円からホームページの運用代行を行っています。SSL証明書を含むサーバー周りの管理、日々届くサーバー会社からのメールチェック、詐欺メールの判別までまとめて代行可能です。「このメールは本物ですか」というスポット相談だけでも歓迎ですので、判断に迷うメールが届いた段階でお気軽にお問い合わせください。
