【実録】メルカリ「お支払い方法の更新」は詐欺:短縮URL→偽CAPTCHA→2重ブロックを経て偽ログイン画面へ至る多段階フィッシング

HL-META: date=2026-07-02 | brand=メルカリ(mercari) | sender_geo=アメリカ合衆国(Microsoft Azure) | site_geo=不明(インフラ既に停止) | spf=pass | dkim=偽装(検証不可) | cloaking=あり(多段階リダイレクト)

【実録】メルカリ「お支払い方法の更新」は詐欺:短縮URL→偽CAPTCHA→2重ブロックを経て偽ログイン画面へ至る多段階フィッシング

Heartland-Lab (ハートランド・ラボ) 専門調査レポート

今回ご紹介するのは「メルカリ」を騙るメールです。ブランド自体は当ラボでも何度か取り上げてきましたが、今回のリンク先は短縮URL・偽の人間認証ゲート・2つの異なるセキュリティ機能によるブロックという、非常に多段階な誘導ルートを経て偽ログイン画面へたどり着くという、手の込んだ構成でした。

※重要:HTMLメールとして配信されており、開封するだけでアクティブなアドレスとして攻撃者のリストに登録されるリスクがあります。

緊急性レベル ★★★☆☆ (3/5)
偽装工作精度 ★★★★★ (5/5)

メール本文自体はシンプルですが、リンクをたどった先が想像以上に多段階でした。一つずつ見ていきましょう。

※実際に届いたメールの画面です。「お支払い機能が一時停止中」として不安を煽る構成になっています。

■ メールヘッダー解析(送信者情報)

件名:[spam]【要対応】お支払い方法の更新が必要です|カード情報をご確認ください No.57804

送信者名:メルカリ

送信元アドレス:info@mercari.co.jp(表示名のみ。実際の送信元は下記参照)

ドメインIP解析:20.121.187.147(Microsoft Corporation/Azure、アメリカ合衆国)

受信日時:2026年07月02日 19時36分頃

※メールヘッダー詳細は個人情報保護のため非掲載

ご覧の通り、このメールはメルカリを装った真っ赤な偽物です。被害を未然に防ぐため、この解析結果を家族のLINEグループに転送して注意喚起してください。

💡ここで!

DKIMヘッダーに「mercari.co.jp」と書いてあるのに、なぜ偽物と分かるの?

DKIMは、メールの送信元が「本当にその署名鍵を持っている組織かどうか」を暗号技術で確認する仕組みです。ヘッダーに「d=mercari.co.jp」と書くこと自体は誰でもできますが、実際にメルカリの秘密鍵を持っていない限り、この署名は検証時に失敗します。つまり、ヘッダーに企業名が書いてあることは、本物の証明にはまったくなりません。今回のメールもこのパターンで、見た目だけの偽装でした。

■ 送信ルート及び偽装判定

Receivedヘッダー解析(サーバー通過証明):
当ラボの受信サーバーに直接着信したのは、Microsoft Azure上のサーバー(20.121.187.147)からでした。SPF認証は「Pass」ですが、これは攻撃者が使い捨てで用意した一斉配信用ドメイン「cdjidong.com」に対して正しく設定されていただけのことであり、メルカリ公式からのメールであることの証明には一切なりません。

【偽装判定】:
正規のメルカリからのメールは「mercari.jp」等の公式ドメインから送信されます。本メールの実際の送信ドメイン「cdjidong.com」はメルカリとは無関係の大量メール配信用ドメインであり、公式サーバーとは一切関係がありません。差出人の表示名とアドレスの見た目だけがメルカリを装っていました。

発信元ロケーション解析:
アメリカ合衆国(Microsoft Azure)
Googleマップ:【位置情報を確認する】

■ フィッシングサイト詳細解析(多段階リダイレクト)

①メール内リンク:本文中の「カード情報の登録・更新はこちら」ボタンから、まず短縮URLサービスへ遷移します。

②短縮URL:hxxps://bjbhzk[.]com/u/yvthydgpzp — ウイルスバスターがこの時点で「フィッシング」として即座にブロックします。

③偽の人間認証ゲート:ブロックを解除して進むと、「サイトへの接続が安全かどうか確認しています」という、reCAPTCHAを模した偽の認証画面が表示されます。盾のアイコンをタップさせることで、機械的な検知ツールの回避と、利用者に「安全確認済み」と思い込ませる二重の狙いがあると考えられます。

④二次リダイレクト先:hxxps://liuyingfa[.]top/jp — ここでもウイルスバスターがブロック。さらにブロックを解除して進むと、今度はGoogle Chromeのセーフブラウジング機能も「危険なサイト」として二重に警告します。

⑤最終着地点:すべての警告を無視して進んだ先に、メルカリの公式ログイン画面をそっくり再現した偽ページが表示されます。ここでメールアドレスとパスワードを入力すると、攻撃者にアカウント情報が渡ってしまいます。

【現在の状況】:短縮URL・二次リダイレクト先ともに、調査時点ではすでに名前解決ができず、インフラが停止済みでした。攻撃者は短期間でドメインを使い捨てていることが確認されています。

※メール内リンク先の短縮URLに対する、ウイルスバスターの一段階目のブロック画面です。

 

※reCAPTCHAを模した偽の認証画面です。盾のアイコンをタップさせる仕掛けになっています。

 

※偽の人間認証ゲートを通過した先のドメインに対する、ウイルスバスターの二段階目のブロック画面です。

 

※ウイルスバスターに加え、Chrome自体もフィッシングサイトとして検出・警告しています。

 

※本物のメルカリとほぼ同じデザインの偽ログイン画面です。

※以下の内容は届いた詐欺メールを技術検証のために忠実に再現したものです。リンクは絶対にクリックしないでください。


このたびはメルカリをご利用いただき、誠にありがとうございます。

■ お支払い機能が一時停止中です

ご登録いただいているクレジットカードの有効期限が切れている、またはご利用が停止されていることが確認されたため、現在以下の機能がご利用いただけない状態となっております。

・商品の購入および決済
・メルカリポイントの購入
・メルカリギフト券の購入

■ 新しいカード情報をご登録ください

お手数をおかけしますが、新しいクレジットカード情報をご登録いただけますと、すべての機能がすぐにご利用いただけるようになります。

【 カード情報の登録・更新はこちら 】(=フィッシングサイトへのリンク。実際にはクリックできないようになっています)

※手続きにはメルカリアプリへのログインが必要です(約2分で完了します)

■ ご確認いただきたい事項

・新しいカード情報をご登録後は、そのままお支払いにご利用いただけます
・カード会社によっては、追加のセキュリティ認証が必要となる場合があります
・すでにカード情報をご更新いただいている場合は、本メールをお気になさらずに破棄ください

ご不明な点がございましたら、メルカリアプリ内の「お問い合わせ」よりご連絡ください。

メルカリ(mercari)運営事務局
ヘルプセンター:https://www.mercari.com/jp/help/(実際のリンク先とは異なります)

本メールは配信専用のため、ご返信いただいてもお受けできません。

■ 注意点と対処法

  1. 「カード情報の登録・更新はこちら」ボタンは絶対にクリックしないでください。途中に何段階もの警告画面が出てきますが、それを無視して進むことは絶対に避けてください。
  2. 途中でセキュリティソフトやブラウザの警告が出た場合:「ブロックしたサイトにアクセス」「安全でないサイトにアクセス」といったボタンは絶対に押さず、そこでブラウザを閉じてください。警告は正しく機能しています。
  3. カード情報を更新したい場合:メール内のリンクからではなく、必ずメルカリ公式アプリから直接ログインして手続きしてください。
  4. 公式注意喚起の参照:メルカリ公式「フィッシングメールやフィッシングサイトにご注意ください」ページ

本レポートの結論

「お支払い方法の更新が必要です」というメルカリなりすましメールは、短縮URL・偽の人間認証ゲート・二重のセキュリティブロックを経て、本物そっくりの偽ログイン画面へたどり着く多段階のフィッシング詐欺でした。途中で複数のセキュリティ警告が出ても、それを無視して進んでしまう人が一定数いることを見越した悪質な設計です。警告が出たら、そこで必ず立ち止まってください。この記事のURLをコピーして、家族のLINEグループで「これ気をつけて!」と共有してあげてください。

調査日:2026年7月3日 / Data Provided by Heartland-Lab Security Research Unit
※本記事に記載のIPアドレス・ロケーション情報は調査時点のものであり、日々変化する可能性があります。本記事の情報に基づいて生じた損害について、当ラボは責任を負いかねます。
根拠データ参照元:ip-sc.net

      🛡️ Heartland 管理者が推奨する「究極の対策セット」  

          ① 【最強の物理防壁】YubiKey 5 NFC  🔑

パスワードが盗まれても、物理的な「鍵」がない限りログインさせない究極の対策です。

Amazonで詳細を見る

          ② 【定番の安心】ウイルスバスター クラウド 3年版  🛡️

巧妙な詐欺サイトを自動で検知・ブロック。手間をかけずに守りたい方に最適です。

Amazonで詳細を見る