【解析】[spam] メルカリ「アカウント継続のお願い」詐欺メールの正体
【調査報告】最新の詐欺メール解析レポート
高度ななりすまし手法:メルカリ偽装フィッシング事案 |
■ 最近のスパムメール動向
今回ご紹介するのは「メルカリ」を騙るメールですが、その前に最近のスパムの動向を整理します。2026年現在、ECサイトのログイン情報を狙う攻撃は、単なるバラまき型から「期限を限定したアカウント制限」を口実にする心理戦へとシフトしています。特に年度末の3月は、ユーザーの決済機会が増えるため、こうした「アカウント継続のお願い」という名目の詐欺が急増する傾向にあります。
|
メールの解析結果(基本データ) |
| 件名の見出し | [spam] 【要ログイン】メルカリ アカウント継続のお願い(期限:3月29日) No.4830469124 |
| 判定理由 | 件名に「[spam]」という判定タグが付与されています。これは受信サーバー側で既に送信元の信頼性が著しく低いと判断された証拠です。 |
| 表示送信者 | “メルカリ運営事務局” <supinfo@mercari.co.jp> |
| 受信日時 | 2026年3月28日 20:01 |
▼ 送信者に関する詳細情報
送信者名は公式のアドレス(@mercari.co.jp)を表示していますが、これは「エンベロープFrom」を偽装したものです。実際の配信元は後述するGoogle Cloud上のサーバーであり、正規のメルカリの配信システムとは一切無関係であることが解析により判明しました。
|
■ メール本文の忠実な再現 ※できる限り忠実に再現していますが、本物の詐欺メールとデザインが異なる場合もあります。
メルカリ お客様各位 平素よりメルカリをご利用いただき、誠にありがとうございます。
━━━━━━━━━━━━━━━
■ アカウント継続のご確認について
━━━━━━━━━━━━━━━ お客様のメルカリアカウントにつきまして、長期間ログインがない状態が続いております。
2026年3月29日(日)までにログインいただけない場合、セキュリティ保持の観点からアカウントが一時的に制限される可能性がございます。 ※本サービスでは、一定期間ログインがない場合に事前にお知らせを送信しております
━━━━━━━━━━━━━━━
■ アカウント継続方法
━━━━━━━━━━━━━━━ アカウントを引き続きご利用いただくには、下記公式サイトよりログインをお願いいたします。 ▼ メルカリ ログイン
https://www.mercar●.com/jp/login/(※リンク一部伏字・無効化) ※ログイン後、通常どおりアカウントをご利用いただけます
※パスワードをお忘れの場合は、ログインページの「パスワードをお忘れの方」より再設定いただけます
━━━━━━━━━━━━━━━
■ ご注意事項
━━━━━━━━━━━━━━━ アカウントが制限された場合、再開には本人確認書類のご提出が必要となることがございます
本メールは送信専用のため、ご返信いただいてもお答えできません
ご不明な点は、メルカリサポートセンターまでお問い合わせください
━━━━━━━━━━━━━━━ メルカリサポートセンター
https://www.mercar●.com/jp/(※リンク一部伏字・無効化) 8XKMV
| |
■ 解析:メールの目的とデザインの不自然さ
【犯人の目的】
このメールの目的は、メルカリのログインID、パスワード、およびクレジットカード情報を窃取する「フィッシング詐欺」です。ログイン期限を翌日に設定することで、受信者に確認の余裕を与えず、偽サイトへ誘導することを狙っています。
【デザインの特徴】
今回のメールはロゴ画像すら使用せず、テキストと罫線のみで構成されています。画像を含まないことで、セキュリティソフトの画像解析検知をすり抜けようとする意図が感じられます。また、文末には公式には存在しないランダムな英数字(8XKMV)が記載されており、これがスパム判定を回避するための動的なシグネチャとして機能しています。
|
■ 送信元・メール回線関連情報 |
| Receivedヘッダ | from blisscook.com (blisscook.com [34.104.151.21])
※このIPアドレスは、送信者が実際に配信に利用した記録であり、信頼できる送信者情報です。 |
| 送信元ドメイン | blisscook.com(公式のmercari.co.jpと一致せず、偽装確定) |
| 送信IPアドレス | 34.104.151.21 |
| ホスティング社名 | Google Cloud (bc.googleusercontent.com) |
| 設置国 | アメリカ合衆国 (United States) |
| ドメイン登録日 | whois調査の結果、ドメインの運用実績が乏しく、攻撃用に転用された可能性があります。 |
| 詳細解析リンク |
[ip-sc.net] 34.104.151.21 の詳細解析データ(本レポートの根拠)
|
■ リンク先・サイト回線関連情報 |
| リンク先URL | https://cricele●en.com/nAgM56Lrff
※ウイルスバスターやGoogleにより「危険なサイト」としてブロック対象となっています。 |
| リンク先IPアドレス | 104.21.53.111 |
| ホスティング社名 | Cloudflare, Inc. |
| 設置国 | アメリカ合衆国 (United States) |
| ドメイン登録日 | 2026年3月初旬(極めて最近)
※ドメイン取得から数週間しか経過しておらず、フィッシング詐欺専用に急造された典型的な使い捨てサイトです。 |
| 詳細解析リンク |
[ip-sc.net] 104.21.53.111 の解析結果(危険なフィッシングサイト)
|
■ 偽物を見抜くポイントと推奨される対応
本メールは、過去のメルカリ偽装事案と比較しても「署名の欠如」「ロゴの不使用」など、極めて低コストに作成されたものです。
【不審な点と対処法】 - 宛名の不正確さ: 登録名ではなく「お客様各位」という総称が使われている。
- リンク先ドメイン: 本文にはmercari.comと書きながら、実際の飛び先は「criceleven.com」であり、完全に別物です。
- 署名と連絡先: 本メールには電話番号を含む正規の署名がありません。不自然なほど簡素な構成自体が警告サインです。
このようなメールを受け取った場合は、メール内のリンクは一切触らずに削除してください。また、メルカリ公式からも同様の事案について注意喚起が出ています。
メルカリ公式:不審なメール・SMSが届いた場合の注意点(必ずご確認ください)
|