【危険】メルカリ「10,000ポイントプレゼント」は偽サイト！Googleが二重に検知したタイポスクワッティングの正体

HL-META: date=2026-06-24 | brand=メルカリ | sender_geo=カナダ・オンタリオ州トロント | site_geo=日本・東京都渋谷区 | spf=pass | dkim=不明 | cloaking=不明

■ メールヘッダー解析（送信者情報）

件名：[spam] メルカリ会員限定10,000ポイントプレゼントキャンペーン

送信者表示名：“メルカリポイント”

送信元アドレス：noreply-newsletter@feedback-mailing.gumnabank-co-jp.com

送信元IP解析：34.130.133.62（カナダ・オンタリオ州トロント／Google Cloud Platform）

SPF判定：Pass（送信元のドメインと送信サーバーの組み合わせが攻撃者側で正しく設定されているだけのことであり、メルカリの正規メールであることの証明にはなりません）

受信日時：2026年06月24日（水）14時07分頃

ご覧の通り、このメールはメルカリを装った真っ赤な偽物です。被害を未然に防ぐため、この解析結果を家族のLINEグループに転送して注意喚起してください。

※以下の内容は届いた詐欺メールを技術検証のために忠実に再現したものです。リンクはすべて無効化しています。

---

いつもメルカリをご利用いただき、ありがとうございます。
現在、会員限定キャンペーンを実施しております。
すチェック1つでかんたん申し込み。

■ キャンペーン内容
ご登録いただいているすべての会員様を対象に、10,000ポイントを進呈いたします。
特典は認証完了後、7日以内に付与されます。
キャンペーン期間：6月24日 23:59まで

■ ご参加方法
登録済みの携帯電話番号によるSMS認証を行い、
認証コードを入力して本人確認を完了してください。

【 SMS認証で特典ポイントを受け取る 】

ご本人確認完了後、同一の携帯電話番号宛てにポイント加算完了のお知らせをお送りいたします。
受信可能な携帯電話番号をご入力ください。

■ 注意事項
・特典は認証完了後、7日以内に付与されます。
・付与されたポイントの有効期限は付与日から1か月間です。
・ご利用時は、購入手続き画面で「ポイントを使用する」を選択してください。
・本キャンペーンの内容は予告なく変更または終了する場合があります。

このメールは送信専用です。ご返信いただいてもお答えできませんのでご了承ください。
お問い合わせ、メールの配信停止は以下のリンクからお願いします。
----------------------------------------------
株式会社メルカリ
〒106-6118　東京都港区六本木6-10-1 六本木ヒルズ森タワー
©2023 Mercari, inc.

「すチェック1つでかんたん申し込み」という誤字混じりの表現も気になりますが、最も注意していただきたいのは認証の流れです。「携帯電話番号によるSMS認証」という名目で電話番号を入力させる手口には十分ご注意ください。メルカリの公式な本人確認やキャンペーン参加は、メールのリンク先で電話番号やSMS認証番号の入力を求めることは一切ありません。

■ 送信ルート及び偽装判定

送信元の正体：送信元として記載されているメールアドレスのドメイン（@より後ろ）は「feedback-mailing.gumnabank-co-jp.com」。メルカリが利用する正規ドメインは「mercari.jp」であり、このドメインは一切関係がありません。さらにこのドメイン名には「gumnabank」「co-jp」という、どこかの銀行を連想させる文字列が紛れ込んでおり、メルカリとは無関係な別のなりすまし企業に使われている可能性があるドメインの流用とみられます。

送信元サーバーの解析：メールヘッダーを解析した結果、実際の送信元IPアドレスは34.130.133.62。このIPアドレスはカナダのオンタリオ州トロントに割り当てられたGoogle Cloud Platform（グーグルのクラウドサービス）のサーバーでした。

※メールヘッダーの詳細（Receivedヘッダー等の生ログ）は受信者の個人情報を含むため、本文中には掲載しておりません。

送信元IPアドレスの詳細情報（ip-sc.net）

■ フィッシングサイト詳細解析

誘導先URL：hxxps://jp.mercaire［.］hristiano.com/srsltid/（以下略）（直リンク防止のため一部表記を変更しています）

巧妙なドメインの偽装：「mercaire」という文字列は、メルカリの英語表記「mercari」に酷似させた、タイポスクワッティング（似た文字列を使ったなりすまし）の典型例です。ただしこれはドメイン本体ではなく、実際のドメイン本体は全く無関係な「hristiano.com」で、「jp.mercaire」はその一部（サブドメイン）に過ぎません。一見メルカリの日本語サイトに見えるよう作り込まれています。

※実際にこのURLへアクセスを試みると、Google Chromeが既知のフィッシングサイトとして検知し、強い警告を表示します。

さらにこのサイトへアクセスを試みると、もう一段階別の警告も表示されます。SSL証明書（通信を暗号化する仕組み）のコモンネーム（証明書に記載されたドメイン名）が、実際にアクセスしているドメイン名と一致していないという技術的な不一致（NET::ERR_CERT_COMMON_NAME_INVALID）が検出されています。

※証明書に登録されたドメイン名と、実際のアクセス先が一致していないという警告です。正規サイトではまずあり得ない現象です。

誘導先サーバーのIPアドレスは8.211.158.90で、日本 東京都渋谷区のAlibaba Cloud（Alibaba.com Singapore E-Commerce Private Limited）が管理するデータセンターに割り当てられていました。海外の大手クラウド事業者が提供する、利用者が手軽に借りられるサーバーが悪用されています。

誘導先サーバーIPアドレスの詳細情報（ip-sc.net）

■ 注意点と対処法

1. 携帯電話番号を入力しない：「SMS認証でポイントを受け取る」という案内であっても、不審なリンク先で電話番号を入力してはいけません。
2. URLをよく確認する：「mercaire」のような、本物に似せた紛らわしいドメイン名にご注意ください。メルカリの公式ドメインは「mercari.com」「mercari.jp」です。
3. ブラウザの警告を無視しない：「危険なサイト」「プライバシーが保護されません」といった警告が表示された場合は、絶対にそのまま進まず、ブラウザを閉じてください。
4. 公式アプリを使う：キャンペーン情報は必ずメルカリ公式アプリ内の「お知らせ」または公式サイトのニュースで確認してください。
5. 公式注意喚起の参照：メルカリ公式「メルカリを装ったフィッシングメールやフィッシングサイトにご注意ください」

本レポートの結論

「会員限定10,000ポイントプレゼントキャンペーン」という名目で届く今回のメールは、メルカリを名乗る偽メールです。携帯電話番号とSMS認証コードを狙う手口に加え、誘導先のドメインは本物に似せたタイポスクワッティングで、Googleのブラウザが二重に危険性を警告するという、技術的にも明確な証拠が確認できました。身近な人が騙されてからでは手遅れです。この記事のURLをコピーして、家族のLINEグループで「これ気をつけて！」と共有してあげてください。