【メルカリ】カード情報の更新手続きのお願いは詐欺!正規のネットショップサービスShopifyを踏み台にした多段階フィッシングの手口

このメールはmercari公式サイトを装った真っ赤な偽物です。リンク先で入力した情報は攻撃者に盗まれます。この解析結果を家族のLINEグループに転送して注意喚起してください。
■ 詐欺メール本文
件名:【メルカリ】カード情報の更新手続きのお願い / 送信者:”メルカリ(株式会社メルカリ)” <mail03@ezsq03.ulkrjm.com>
mercari フリマアプリ 重要 登録カード情報更新のご案内 平素よりmercariをご利用いただき、誠にありがとうございます。 このたび、セキュリティ基準の強化に伴い、ご登録いただいているクレジットカード情報の再確認と更新手続きが必要となりました。 新しいカード情報をご登録いただくまで、一部のサービスがご利用いただけない場合がございますので、お早めに手続きをお願いいたします。 ■更新の必要性 新しいセキュリティ基準に対応するため、現在ご登録のカード情報では認証に失敗する可能性があります。 スムーズなサービス利用のため、カード情報の更新が必須となっております。 ■一時的にご利用いただけない機能(更新完了まで) ・商品の購入・決済 ・mercariポイントの購入 ・mercariギフト券の購入 ■お手続き方法 1. mercariアプリまたは公式サイトにログイン 2. マイページの「支払い設定」より、新しいクレジットカード情報を登録 3. 変更内容を保存して完了 ※手続きには数分かかります。 今すぐカード情報を更新する ※必ず公式アプリまたは公式サイトから直接お手続きください。 ■お手続き推奨期限:2026年7月15日(水) 推奨期限を過ぎますと、キャンペーンや売上金のご利用に影響が出る可能性があります。 対応内容:クレジットカード情報の更新(セキュリティ基準強化に伴う再登録) 参照ID:d9afa9bf-552a-bf96-0f4e-3891a5479d96 ⚠ ご注意 ※本更新手続きはセキュリティ強化のため必須です。手続きを完了されないと、決済や各種サービスのご利用に影響を及ぼす場合があります。 ※必ずmercariアプリまたは公式サイトから直接ログインし、マイページ内の「支払い設定」よりお手続きください。 メール内のリンクをクリックせず、ご自身でブラウザを開いてアクセスするようお願いいたします。 ※お客様の情報保護のため、定期的な確認をお願いしております。 このメールは自動送信されております。返信はできませんのでご了承ください。 SSL暗号化通信 発行元:株式会社mercari 〒106-6118 東京都港区六本木6-10-1 六本木ヒルズ森タワー ヘルプセンター|配信停止手続き © 2026 Mercari, Inc.
届いたメルカリ偽装詐欺メールの全体像
よく見ると、本文中のリンクタグが正しく変換されず??ref="https://www.blueanter.com/..."や??tyle="COLOR: #cc0000"のようにそのまま文字化けして表示されています。本来なら隠れているはずのHTMLタグの断片がむき出しになっており、詐欺メールを自動生成するシステムの作りの粗さが透けて見えます。
■ 送信ルート及び偽装判定
■ メールヘッダー解析(送信者情報)
※メールヘッダー詳細は個人情報保護のため非掲載。送信元IPはReceived-SPF: client-ip=の値から特定しています。
送信元IP:85.211.182.221(マレーシア)
HELO/envelope-from:ezsq03.ulkrjm.com
【偽装判定】:
mercariの公式メールは@mercari.jpから送信されます。本メールの送信元ezsq03.ulkrjm.comは公式とは一切無関係の独自取得ドメインです。
💡ここで! 専門用語を解説
SPF(送信ドメイン認証):メールがなりすましでなく、正しいサーバーから送られたかを確認する仕組み。今回は「攻撃者自身のドメインとして正規に送られた」という意味でPassしているだけで、mercariになりすましていないことの証明にはなりません。
HELO:メール送信時にサーバーが自己申告する名前。攻撃者が用意した送信元サーバーの実際のホスト名が分かります。
クローキング(多段リダイレクト):本物のリンク先をすぐに見せず、複数のサイトを経由させることで、セキュリティソフトや調査を回避しようとする手口です。
■ フィッシングサイト詳細解析(3段構成)
■ 第1段階:正規サービスを踏み台にした中継
本文の「今すぐカード情報を更新する」リンク先:
hxxps://blueanter[.]com/(伏字)
このドメインのIPアドレスを調べたところ23.227.38.65——ネットショップ作成サービス「Shopify」がサードパーティドメイン接続用に案内している既定IPアドレスそのものでした。攻撃者が正規のShopifyストアをクローキング(中継地点)として悪用していると見られます。
中継サイトを経由すると表示される「安全な接続を確認しています」という偽の読み込み画面
■ 第2段階:ウイルスバスターがブロックした着地点
最終的な誘導先:
hxxps://faxudv[.]com/UcifotqL/?ts=(伏字)&sig=(伏字)
セキュリティソフト(ウイルスバスター クラウド)が「脅威の種類:フィッシング」として即座にブロックしています。
ウイルスバスター クラウドが「安全ではない可能性があります」と即座にブロック
■ 第3段階:偽mercariログイン画面
ブロックを回避してアクセスした場合、mercariの公式ログイン画面を精巧に模した偽ページが表示され、メールアドレスとパスワードの入力を求められます。
mercari公式そっくりに作られた偽ログイン画面。入力すると情報が攻撃者に盗まれる
※解析データに基づき、正規サービス→ブロック済みドメイン→偽ログイン画面という3段階の構成で、フィルターや調査の目をかいくぐろうとしていることが確認されています。
なお、メール末尾の「配信停止手続き」リンクを確認したところ、実際には何も指し示さないダミーリンクでした。多くの詐欺メールキットは「配信停止」を開封確認(生きているアドレスの確認)に悪用しますが、今回はそのダミーリンクすら機能していない、輪をかけて雑な作りでした。
■ 注意点と対処法
- URLをクリックしない:リンク先は情報を盗むための偽サイトです。正規のネットショップサービスを経由していても安全とは限りません。
- 公式アプリ・ブックマークから確認:カード情報の更新が必要かどうかは、必ずmercari公式アプリまたはブックマークからマイページを確認してください。
- もし入力してしまったら:速やかにパスワードを変更し、カード会社に連絡してカードの利用停止を依頼してください。
- 公式の注意喚起を参照:メルカリを装ったフィッシングメールやフィッシングサイトにご注意ください(メルカリ公式)
本レポートの結論
mercariを騙る「カード情報の更新手続きのお願い」は、正規のネットショップ作成サービスを踏み台にした3段階の誘導で偽ログイン画面へ導く詐欺メールでした。セキュリティソフトが2段階目でブロックしているとはいえ、リンクをクリックした時点で危険にさらされます。身近な人が慌てて手続きしてしまう前に、この記事のURLをコピーして、家族のLINEグループで『これ気をつけて!』と共有してあげてください。
Data Provided by Heartland-Lab Security Research Unit
根拠データ参照元:ip-sc.net
















