【メルカリ】本人確認の再実施を装ったフィッシングメールに注意!SendGrid悪用+ワードサラダの二重回避工作を解析
🔴 緊急度:高
| 緊急性レベル | ★★★★☆(4/5) |
| 偽装工作精度 | ★★★★★(5/5) |
■ メールヘッダー解析(送信者情報)
件名:【Mercari】本人確認の再実施に関する重要なお知らせ
送信者名:“Mercari”(表示名のみ偽装)
送信元アドレス:info@zh-global-hthtiyu.com
送信元ドメインIP:172.67.155.186(Cloudflare経由)
受信日時:2026年6月7日(日)12:13:09 +0900
SPF認証:Pass(SendGrid経由で通過)
DKIM署名:あり(d=zh-global-hthtiyu.com)
▲ 実際に届いたフィッシングメール。メルカリのロゴ・社名・住所まで精巧に偽装されている。
ご覧の通り、このメールは公式メルカリを装った真っ赤な偽物です。被害を未然に防ぐため、この解析結果を家族のLINEグループに転送して注意喚起してください。
詐欺メール本文(忠実再現)
※以下の内容は届いた詐欺メールを技術検証のために忠実に再現したものです。リンクはすべて無効化しています。
本人確認の再実施に関する重要なお知らせ いつもmercariをご利用いただきありがとうございます。 Mercariの安全対策により、 お客さまのアカウントで追加の本人確認が必要となりました。 以下の期限までに確認手続きを完了してください。 【実施期限:2026年06月10日23:59】 期限までに完了いただけない場合、出品・購入・振込申請など 一部機能がご利用いただけなくなります。 [ 本人確認を行う ](※リンク無効化済み) ※確認手続きには数分ほどかかる場合があります。完了後は、 各種サービスを通常どおりご利用いただけます。 本メールは送信専用アドレスから配信しています。 ご不明点はアプリ内「マイページ→ヘルプ・お問い合わせ」よりご連絡ください。 株式会社Mercari 〒106-6118 東京都港区六本木6-10-1 六本木ヒルズ森タワー ©2025 Mercari, Inc.
ワードサラダ(フィルター回避工作)の検出
■ HTMLソース内に仕込まれた「ワードサラダ」
メール本文のHTMLソースには、日本語テキストをHTMLエンティティ(数値文字参照)に変換した文字列が大量に埋め込まれていました。これは「ワードサラダ」と呼ばれる回避手法で、ブラウザ上では普通の日本語として表示されますが、メールサーバーや一部のスパムフィルターはエンティティ文字列のまま解析するため、フィルターをすり抜けやすくなります。
実際にHTMLソースを確認すると、以下のような文字列が羅列されていました:
【ブラウザ表示(読める日本語)】
【HTMLソース(エンティティ文字列)】
▲ 左右の内容は同じ文章。攻撃者はあえて右のような「読めない文字列」でメールを作成し、スパムフィルターの目をくらましている。
送信ルート及び偽装判定
■ 送信ルート及び偽装判定
※本来であればReceivedヘッダーの全文をスクリーンショットでお見せしたいところですが、受信者側のサーバー情報が含まれるため掲載を控えています。ご了承ください。
Receivedヘッダー解析(サーバー通過証明):
Received: from s.wfbtzhsw.outbound-mail.sendgrid.net (s.wfbtzhsw.outbound-mail.sendgrid.net [159.183.224.105])
【偽装判定】:
正規のメルカリからのメールは mercari.com または jp.mercari.com ドメインのサーバーから送信されます。本メールの送信元は正規のメール配信サービス「SendGrid」のサーバー(159.183.224.105)であり、メルカリとは一切関係のない第三者アカウントから送信されています。SendGridを経由することでSPF認証を「Pass(合格)」させ、セキュリティチェックを突破しています。
送信元ドメイン:zh-global-hthtiyu.com(攻撃者が取得した偽装用ドメイン)
ドメインIP:172.67.155.186(Cloudflare経由)
実送信サーバーIP:159.183.224.105(SendGrid / 米国)
Googleマップ:【位置情報を確認する(カリフォルニア州)】
フィッシングサイト詳細解析
▲ ウイルスバスター クラウドによる警告画面。「フィッシング」として正確に検出・ブロックされている。
▲ Google ChromeでもGoogle セーフ ブラウジングにより「危険なサイト」として警告が表示される。
▲ セキュリティソフトを無効にして強制アクセスしても「504 Gateway Time-out」。すでにサーバーが応答停止状態。
■ フィッシングサイト詳細解析
誘導先URL(伏せ字):hxxps://hljbrxx[.]com/vjtzqh(一部伏せ字)
リンクドメイン:hljbrxx.com(意味のないランダム文字列。使い捨て目的で取得されたもの)
サイトサーバーIP:154.219.121.135
ロケーション推定:香港・中国系VPSプロバイダー(154.0.0.0/8ブロック)
Googleマップ:【位置情報を確認する(香港付近)】
【サイトの状態】:ウイルスバスター クラウドおよびGoogle Chromeのセーフ ブラウジングで既にフィッシングサイトとしてブロック対象に登録済み。強制アクセスを試みても「504 Gateway Time-out」でサーバーが応答しない状態。
※解析データに基づき、攻撃者はランダム文字列ドメインを短期間で使い捨てていることが確認されています。
注意点と対処法
■ このようなメールが届いた場合の対処法
- リンクをクリックしない:メール内のボタンやURLはすべて偽サイトへの入口です。絶対にタップ・クリックしないでください。
- 送信元アドレスを確認する:送信者名が「Mercari」でも、アドレスが
@mercari.com以外であれば偽物です。本件のinfo@zh-global-hthtiyu.comはメルカリと無関係のドメインです。 - 公式アプリまたはブックマークからアクセス:本人確認や個人情報の変更が必要な場合は、必ず公式アプリまたはブラウザのブックマークから直接メルカリにアクセスして確認してください。
- 既に入力してしまった場合:すぐにメルカリのパスワードを変更し、同じパスワードを使用している他のサービスでも変更してください。クレジットカード情報を入力した場合はカード会社にも連絡を。
- 公式注意喚起の参照:メルカリを装ったフィッシングメールやフィッシングサイトにご注意ください(公式)
■ 関連記事
当ブログでは過去にもメルカリを騙る詐欺メールを取り上げています。あわせてご覧ください。
また、正規のメール配信サービスを悪用してSPF認証を通過させる同一手口は、えきねっとを騙るフィッシングメールでも確認されています。
【調査レポート】「個人情報保護方針に基づく再認証」えきねっと偽メール——SPF・DKIM両方Passの最高難度偽装と中国系インフラを暴く
本レポートの結論
本件は、正規メール配信サービスSendGridを不正利用してSPF認証をくぐり抜け、さらにHTMLエンティティのワードサラダでスパムフィルターを欺くという二重の回避工作が施された高精度なフィッシングメールです。メルカリのロゴ・住所・著作権表記まで精巧に模倣されており、一見では偽物と判断しにくい仕上がりになっています。「期限」を設けて焦らせ、冷静な判断を奪う心理的手法も特徴的です。
フィッシングサイト自体はすでに主要セキュリティソフトとChromeでブロック済みですが、同じ手口のメールが形を変えて継続送信されている可能性があります。身近な人が騙されてからでは手遅れです。この記事のURLをコピーして、家族のLINEグループで『これ気をつけて!』と共有してあげてください。
調査日:2026年6月7日 / Data Provided by Heartland-Lab Security Research Unit
※本記事に記載のIPアドレス・ロケーション情報は調査時点のものであり、日々変化する可能性があります。本記事の情報に基づいて生じた損害について、当ラボは責任を負いかねます。
根拠データ参照元:ip-sc.net
今、拡散中の詐欺メール
