【実録】「お支払い機能が停止中です」メルカリを騙る偽メールを徹底解析

2026年5月21日

【偽メルカリ】「お支払い機能が停止中です」と不安を煽るフィッシング詐欺メールの徹底解析
配信日：2026年5月21日／監視・分析・監修：Heartland-Lab

フリマアプリ「メルカリ」を精巧に騙り、利用者のクレジットカード情報やアカウント認証情報を一網打尽に盗み取ろうとする極めて悪質なフィッシング詐欺メールが観測されました。

本レポートでは、Heartland-Labのポリシーに基づき、技術的ヘッダー情報の深層解析から、偽装された本文、セキュリティ製品によるブロックの動向、そしていずれ待ち受ける詐欺ログイン画面の構造までを、一切の手抜きなく長尺で徹底的に解剖します。同様の不審メールを受け取った方は、絶対にリンクを触らず、本解析を被害防止の参考としてください。

1. 偽装メールの基本情報と、暴かれる嘘（ヘッダー深層解析）

一見すると「メルカリサポートセンター」という正規の名称と、本物のドメイン（support＠mercari.co.jp）が送信元に記載されているため、スマートフォンなどの簡易表示では本物と見誤る危険性が非常に高くなっています。しかし、メールの裏側に記録されている「ヘッダー情報」を引き出すことで、その欺瞞（ぎまん）が完全に暴かれます。

項目	解析結果・観測データ（セキュリティ保護のため一部伏字）
表示上の送信者 (From)	“メルカリサポートセンター” <support＠mercari.co.jp>
実際の配送ルート (Return-Path)	<norep09-*+2D*d=****.jp＠norep09.dalonghg.com>
メッセージID (Message-ID)	<G5AYW2s＠norep09.dalonghg.com>
メールの形式	HTMLメール (text/html; charset=”ISO-2022-JP”)

■ 抽出された生ヘッダー（重要２項目）の検証

時系列上の最古の足跡（攻撃者が最初にメールを投入したサーバー情報）および、中継経路でのSPF認証結果のみを厳選して抽出します。

[Received-SPF（送信ドメイン認証結果）]
Received-SPF: Pass (sender SPF authorized) identity=mailfrom; client-ip=34.146.109.48; helo=norep09.dalonghg.com; envelope-from=norep09-*****+2D1316d=********.jp＠norep09.dalonghg.com; receiver=*****＠********.jp

[最古のReceived（最初の発信元）]
Received: from norep09.dalonghg.com (norep09.dalonghg.com [34.146.109.48])
by dmail02.********.net (Postfix) with ESMTPS id 95AC242447E
for <******＠********.jp>; Thu, 21 May 2026 09:46:07 +0900 (JST)

【Heartland-Lab テクニカル解説】
最古の `Received` 情報を確認すると、このメールはメルカリのシステムから送信されたものではなく、「dalonghg.com」 という全く無関係のドメインに属するサーバー（IPアドレス: `34.146.109.48`）から配送がスタートしていることが確定します。
`Received-SPF` が `Pass` になっているのは、攻撃者が用意した使い捨て用のドメイン（dalonghg.com）に対して、攻撃者自身が正しいSPFレコードを設定して送信しているためです。これは「送信元偽装が成功している」という意味ではなく、「攻撃者のサーバーから、偽物のルール通りに、綺麗に送られてきた」ということに過ぎません。騙されないよう深い注意が必要です。

2. 配信された偽メール本文の構造と、巧妙な偽装トリック

以下は、実際に被害者の元に届けられた不審なHTMLメールの表示画面です。

【スクリーンショット画像：メール本文画面】

■ 受信本文の忠実な再現
メールソフト上で表示されるテキストおよび、偽装されたリンク構造を極力忠実にトレースしました。

件名： [spam] 【要対応】お支払い機能が停止中です | カード情報の更新をお願いします
送信者： “メルカリサポートセンター” <support＠mercari.co.jp>

メルカリ

このたびはメルカリをご利用いただき、誠にありがとうございます。

━━━━━━━━━━━━━━━━━━━━━━━━━━
■ お支払い機能が一時停止中です
━━━━━━━━━━━━━━━━━━━━━━━━━━

ご登録いただいているクレジットカードの有効期限切れ、またはご利用停止が確認されたため、現在以下の機能がご利用いただけません。

商品の購入および決済
メルカリポイントの購入
メルカリギフト券の購入

━━━━━━━━━━━━━━━━━━━━━━━━━━
■ 新しいカード情報をご登録ください
━━━━━━━━━━━━━━━━━━━━━━━━━━

新しいクレジットカード情報をご登録いただくと、すべての機能がすぐに復旧します。

▼ カード情報を登録更新する
https://www.mercari.com/jp/settings/payment/

※手続きにはメルカリアプリへのログインが必要です（約2分）
※公式サイトへのアクセスをご確認の上、お手続きください

━━━━━━━━━━━━━━━━━━━━━━━━━━
■ ご確認いただきたい事項
━━━━━━━━━━━━━━━━━━━━━━━━━━

新しいカード情報登録後は、そのままお支払いにご利用いただけます
カード会社によっては、追加のセキュリティ認証が必要な場合があります

━━━━━━━━━━━━━━━━━━━━━━━━━━

ご不明な点は、メルカリアプリ内の「お問い合わせ」よりご連絡ください。

━━━━━━━━━━━━━━━━━━━━━━━━━━

メルカリ（mercari）運営事務局
ヘルプセンター：https://www.mercari.com/jp/help/
本メールは配信専用のため、ご返信いただいてもお受けできません。

Ref: NVCPIAL

【Heartland-Lab テクニカル解説】
この本文における最大にして最凶の罠は、青文字でアンダーラインが引かれたURL表示です。
画面上には、いかにも公式のものであるかのように 「https://www.mercari.com/…」 と記載されています。しかし、HTMLメールの裏側に仕込まれた `href` 属性（リンクの本当の飛び先）には、これとは全く異なる別のフィッシングサーバーのURL（伏字部：howlongt******.com）が書き込まれています。このように、「目で見えるURL」と「実際にジャンプするURL」を乖離させる手法は、HTMLメールを用いたフィッシング詐欺の典型的な常套手段です。

3. セキュリティフィルターによる検知（水際での遮断）

幸いにも、メール内のリンクを不用意に踏んでしまった場合でも、エンドポイント（PCやスマホ）に導入されたセキュリティ製品が正常に機能していれば、被害に遭う手前で強制遮断されるケースがあります。

【スクリーンショット画像：セキュリティ警告画面】

※ウイルスバスタークラウド「このWebサイトは、安全ではない可能性があります」の警告画面

■ 検知された危険な誘導先の実態

大手セキュリティベンダー（トレンドマイクロ社など）のWeb脅威対策機能により、以下のドメインが「フィッシング詐欺サイト」として明確にブラックリスト登録されていることが確認されました。

項目	詳細データ
実際に接続を試みたURL	https://howlongt**.com/?type=verify&key=ppcqeappku
悪用されているドメイン	howlongt******.com
脅威の判定分類	フィッシング (Phishing)

【Heartland-Lab テクニカル解説】
攻撃者が真に被害者を誘導したかった先は、メルカリとは1ミリも関係のない 「howlongt******.com」 という不審な海外ドメインでした。このように全く異なる名称のドメインを無数に使い回すことで、セキュリティ機関によるドメインブロックの手をすり抜けようと図ります。ブラウザのURL欄に公式以外の文字（mercari.com以外の文字列）が表示されていた場合は、どのような理由があろうとも即座にブラウザを閉じてください。

4. 罠の最終地点：巧妙にコピーされた偽ログイン画面

セキュリティの警告を無視したり、あるいはまだ対策が追いついていない未検知のセキュリティホールを突かれたりした場合、ブラウザ上には本物と寸分違わぬ「偽のログイン画面」がレンダリングされます。

【スクリーンショット画像：偽ログイン画面】

※メルカリのロゴマーク、メールアドレス、パスワードの入力欄が模倣された詐欺サイトの画面

■ 入力してしまった場合の被害シナリオ

この画面で「メールまたは電話番号」や「パスワード」を入力し、真っ赤な「ログイン」ボタンを押してしまうと、データは公式サーバーへ送信されるのではなく、攻撃者が管理する海外のC2サーバー（情報窃取サーバー）へ直接送信されます。

その後、アカウントを乗っ取られた被害者は以下の連鎖的被害に直面します：

売上金・メルペイ残高の即時搾取： 犯人グループによって高額な商品や金券類が勝手に決済され、残高がすべて消費されます。
登録クレジットカードの不正利用： アカウントに紐づけられていたクレジットカードで別の不正ECサイトでの決済が走り、限度額いっぱいの被害に遭う恐れがあります。
アカウントのブラックリスト化： 被害者のアカウントから別のユーザーへ向けて、大量のスパムメッセージや詐欺の出品が自動で行われ、結果的にメルカリから強制退会処分・利用停止処分を受ける二次被害へと拡大します。

【総括（Heartland-Labより安全への提言）】
「お支払い機能の停止」「不正アクセスの検知」「アカウント削除の予告」といったユーザーの恐怖や焦りを煽る文言のメールは、99.9%がフィッシング詐欺と断定して差し支えありません。

メルカリ側からも公式にアナウンスされている通り、アカウントや決済に関する重要な通知を確認する際は、配信されたメールのリンクを直接クリックすることは厳禁です。必ず「スマートフォンの公式アプリ」を直接起動するか、あらかじめブラウザに登録してある「本物のブックマーク」から公式サイトにアクセスし、お知らせ欄を確認する癖を徹底してください。

今後もHeartland-Labでは、ネット上の脅威をいち早く検知・徹底分析し、手抜きのない衛生情報として発信を続けてまいります。皆様のデジタルライフが安全であることを切に願います。