【解析】メルカリ「アカウント継続のお願い」詐欺メールの正体とIP調査

【調査報告】最新の詐欺メール解析レポート
メールの解析結果と技術ドキュメント

 

最近のスパム動向について


今回ご紹介するのは「メルカリ」を騙るメールですが、その前に最近のスパムの動向を解説します。
最近の傾向として、年度末や月頭といった「アカウント更新」や「支払い情報の再確認」が自然に見えるタイミングを狙った攻撃が急増しています。
特に、正規のドメインに似せた巧妙な偽装だけでなく、今回のように全く無関係なドメインから「重要」「要ログイン」といった強い言葉を使って誘導するケースが目立ちます。

 

メール基本情報

件名 [spam] 【要ログイン】メルカリ アカウント継続のお願い(期限:3月31日)
件名の見出し 冒頭に [spam] 判定。これはサーバーのスパムフィルターが危険性を検知した証拠です。
送信者 “メルカリ運営事務局” <noreply@mail12.bemananas.com>
受信日時 2026-03-31 11:08

 

送信者に関する詳細情報


送信元アドレスのドメインが「bemananas.com」となっており、メルカリ公式(mercari.com)とは一切関係がありません。

 

メール本文の再現


メルカリ

このたびはメルカリをご利用いただき、誠にありがとうございます。
━━━━━━━━━━━━━━━
■ お支払い機能が一時停止中です
━━━━━━━━━━━━━━━

ご登録いただいているクレジットカードの有効期限が切れている、またはご利用が停止されていることが確認されたため、現在以下の機能がご利用いただけない状態となっております。

商品の購入および決済
メルカリポイントの購入
メルカリギフト券の購入
━━━━━━━━━━━━━━━
■ 新しいカード情報をご登録ください
━━━━━━━━━━━━━━━

お手数をおかけしますが、新しいクレジットカード情報をご登録いただけますと、すべての機能がすぐに利用いただけるようになります。

▼ カード情報の登録 更新はこちら
hXXps://www.mercari.com/jp/settings/pXXment/
※手続きにはメルカリアプリへのログインが必要です(約2分で完了します)
━━━━━━━━━━━━━━━
■ ご確認いただきたい事項
━━━━━━━━━━━━━━━

新しいカード情報をご登録後は、そのままお支払いにご利用いただけます
カード会社によっては、追加のセキュリティ認証が必要となる場合があります
━━━━━━━━━━━━━━━

ご不明な点がございましたら、メルカリアプリ内の「お問い合わせ」よりご連絡ください。
━━━━━━━━━━━━━━━

メルカリ(mercari)運営事務局
ヘルプセンター:hXXps://www.mercari.com/jp/heXX/
本メールは配信専用のため、ご返信いただいてもお受けできません。

※できる限り忠実に再現していますが、本物の詐欺メールとデザインが異なる場合もあります。

 

解析レポート:犯人の目的と手口


【犯人の目的】
このメールの目的は、クレジットカード情報の窃取(フィッシング)です。
「支払機能の停止」という緊急事態を装い、ユーザーを焦らせて偽のログインページへ誘導し、カード番号、有効期限、セキュリティコードを盗み取ろうとしています。

【専門的な解説】
メールのデザインは公式を模倣していますが、署名部分に電話番号の記載がなく、文字主体の構成で「公式らしさ」を演出しようとしています。
メルカリ公式の問い合わせはアプリ内が基本であり、外部サイトへ誘導してカード情報を再入力させることは通常ありません。
また、ロゴが添付ファイルにされている場合、それはメールソフトのHTMLレンダリングを悪用したり、スパムフィルターを回避するための古典的な手法です。

 

送信元回線・Received情報


Received: from smtp.vault-scheduler.shizuoka.jp ([153.82.227.177])

この情報はメールの送信に利用された中継ルートを示すもので、カッコ内のIPアドレスは解析の起点となる「信頼できる送信者情報」です。

■ 送信元回線データ
・ドメイン:smtp.vault-scheduler.shizuoka.jp
・IPアドレス:153.82.227.177
・ホスティング:OCN (NTT Communications Corporation)
・設置国:Japan (日本)

■ 独自解析結果リンク
この送信元IP(153.82.227.177)の詳細な解析レポートを閲覧する

 

誘導先リンクの解析


【偽装箇所】
本文内の「hXXps://www.mercari.com/…」という表示は完全に偽装です。
実際のリンク先は以下のドメインとなっています。

■ 実際のリンク先URL
hXXps://sriwqpeln.top/yaheuqqr/(※一部を伏せ字にしています)

■ リンク先ドメイン情報
・ドメイン:sriwqpeln.top
・IPアドレス:104.21.31.203
・ホスティング:Cloudflare, Inc. (bc.googleusercontent.com等が含まれる場合、クラウドインフラを悪用している可能性があります)
・設置国:United States (アメリカ)
・ドメイン取得日:2026年3月頃(※取得日が極めて最近であるため、使い捨ての詐欺用ドメインである可能性が非常に高いです)

■ サイトの状態
現在、ウイルスバスターやGoogleからのブロックは確認されませんが、アクセスするとタイムアウトエラーが表示されます。
“We apologize, but your request has timed out…”
これは、当局による摘発を免れるために攻撃者が意図的にアクセス制限をかけているか、あるいは既にサイトが閉鎖された状態であることを示唆しています。

■ 解析リファレンス
誘導先サーバー(104.21.31.203)の回線関連情報を確認する

 

詐欺サイトの視覚的証拠

※エラーメッセージが表示されており、現在は稼働していないか、特定の条件でのみ動作するよう制御されています。

 

まとめ・推奨される対応


今回のメールは、メルカリ公式のデザインを模倣した巧妙なフィッシング詐欺です。
過去の事例と比較しても、「アカウント更新」を名目に外部ドメインへ誘導する手法は定番化しています。
宛名が「メルカリ」とだけあり、あなたの氏名が正しく記載されていない点は大きな判断材料になります。

【対処法】
1. メールのリンクは絶対にクリックしない。
2. 情報を入力してしまった場合は、即座にカード会社に連絡し停止措置をとる。
3. 公式アプリまたはブックマークした公式サイトからログインして状況を確認する。

 

公式の注意喚起情報


メルカリ公式でも同様の事例について注意喚起が出ています。必ず一度ご確認ください。
メルカリ公式:不審なメール・SMSが届いた際の注意点

詐欺メール,メルカリIPアドレス解析,アカウント継続のお願い,クレジットカード詐欺,サイバー犯罪対策,セキュリティレポート,なりすまし,フィッシングサイト,フィッシング詐欺,メルカリ,ログイン情報の盗難,不審なメール,個人情報保護,注意喚起,詐欺メール,迷惑メール

Posted by heart