【解析】メルペイ「ご利用制限」は偽物!Microsoft Azureから届く本人確認詐欺の正体
| 緊急性レベル | ★★★☆☆ (3/5) |
| 偽装工作精度 | ★★★★☆ (4/5) ※公式ロゴを流用し、SPF・DKIMも整備された比較的丁寧な作り |
■ メールヘッダー解析(送信者情報)
件名:[spam] 【Merpay】ご利用制限のお知らせ/本人確認のお願い
送信者表示名:“メルペイ”
送信元アドレス:noreply@njlmwa.yxdgy.com(メルペイ・メルカリの正規ドメインとは無関係)
受信日時:2026年6月21日(日)12:09:04 +0900
※メールヘッダー詳細は個人情報保護のため非掲載
メルカリ・メルペイの正規ドメインは mercari.com/merpay.com のみ。これ以外のドメインから届く「ご利用制限」メールはすべて偽物です。
それでは実際に届いたメールの本文を見てみましょう。Merpayの公式ロゴを冒頭に配置し、見た目はかなり本物に近い作りです。
▼ 実際に届いた詐欺メールの全体像
※以下の内容は届いた詐欺メールを技術検証のために忠実に再現したものです。
メルカリメルペイをご利用いただきありがとうございます。 ただいまご利用に制限がかかっています。 【制限されている機能】出品/購入/振込申請/いいね!/コメント ご本人様であることを確認していただくと、制限を解除できます。 ログイン後に本人確認情報を入力するだけで、簡単に制限を解除できます。 [ご本人である場合、こちらから解除が可能です] ※このメールアドレスは送信専用です。ご返信いただいても対応できませんのでご了承ください。 お困りの場合は、こちらのガイドを参照のうえお問い合わせください。 ※配信停止をご希望の方はこちらからお手続きください。 株式会社メルペイ 株式会社メルペイはメルカリの決済サービスを運営しています
「出品/購入/振込申請/いいね!/コメント」と機能名を具体的に並べることで、メルカリを実際に使っている人ほど不安にさせる作りになっています。文面自体も自然な日本語で、過度な誤字や不自然な表現は見当たりません。この巧妙さが、ぱっと見で詐欺と判断しにくいポイントです。
■ 送信ルート及び偽装判定
※メールヘッダー詳細は個人情報保護のため非掲載。経由:mail.a14aeff.ad.jp [190.120.94.13] → njlmwa.yxdgy.com [52.253.98.219]
SPF・DKIMの結果:
Received-SPF: Pass/DKIM署名あり(d=njlmwa.yxdgy.com)
SPF・DKIMともに認証を通過していますが、これは「攻撃者自身が用意したドメイン(njlmwa.yxdgy.com)からの送信として正しい」というだけの意味です。メルカリ・メルペイの正規インフラとは一切関係がなく、認証が通っていることが安全の証明にはなりません。
【偽装判定】:
送信元アドレスのドメイン「yxdgy.com」は、メルカリ・メルペイの正規ドメインとは無関係な、意味を持たない英数字の組み合わせです。本物の企業が、こうした素性の分からないドメインから重要な通知を送ることはありません。
発信元ロケーション解析:
送信元IP:52.253.98.219
プロバイダー:Microsoft Corporation(Azure、AS番号8075/MICROSOFT-CORP-MSN-AS-BLOCK)
IPアドレス調査:ip-sc.netで詳細を確認する(脅威レベル「低」、利用形式「hosting」と判定)
送信元がMicrosoft Azureというのも見逃せないポイントです。これまで当ブログで取り上げた攻撃の多くはGoogle Cloud Platformを使うケースが目立っていましたが、今回はAzure上に構築されたインフラから送られていました。クラウドサービスはどれも「誰でも借りられる」という性質上、攻撃者にとって使い捨てサーバーとして都合がいいものです。Azureだから安全、GCPだから危険、ということはなく、どのクラウド事業者のインフラ上でも詐欺は同様に行われています。
■ フィッシングサイト詳細解析
誘導先URL:h**ps://zcaad2.chxye.com/
【サイトの状態】:調査時点では応答が極端に遅く、「ERR_CONNECTION_TIMED_OUT」(接続タイムアウト)が表示されました。現在は稼働していない、または一時的にアクセスできない状態と考えられます。
▼ 誘導先URLへアクセスした際の画面(タイムアウト)
■ 注意点と対処法
- 送信元のドメインを必ず確認する:メルカリ・メルペイの正規ドメインは mercari.com/merpay.com のみです。
- 「制限されている機能」を具体的に並べる文面に警戒する:不安を増幅させるための典型的な手口です。
- 本文中のリンクからログインしない:メルカリの公式な本人確認は、アプリ内の専用フロー(マイナンバーカードの読み取りや顔認証)でのみ行われます。メールのリンク先でパスワードや認証番号を入力させることはありません。
- 不審に思ったら公式アプリ・公式サイトから直接確認する:ブックマークや検索からアクセスし、メール経由のリンクは使わないでください。
- 公式注意喚起の参照:メルカリを装ったフィッシングメールやフィッシングサイトにご注意ください(メルカリ公式)
本レポートの結論
メルペイの公式ロゴを使い、「出品・購入・振込申請」といった具体的な機能名を並べて不安を煽る、比較的作り込まれたフィッシングメールでした。送信元はMicrosoft Azure上の無関係なドメインで、SPF・DKIMが通っていても安全の証明にはなりません。メルカリ・メルペイの本人確認はアプリ内の専用フローでのみ行われ、メールのリンクから求められることは絶対にありません。身近な人が騙されてからでは手遅れです。この記事のURLをコピーして、家族のLINEグループで『これ気をつけて!』と共有してあげてください。
Data Provided by Heartland-Lab Security Research Unit
※本記事に記載のIPアドレス・誘導先サイトの状態は調査時点のものであり、日々変化する可能性があります。
根拠データ参照元:ip-sc.net
今、拡散中の詐欺メール
【実録】「2年越しの毒電波を克服」魔改造B-CASカード販売メールの正体——6/17新KW対応版と称しYandex経由で届く違法勧誘の全手口を公開 
【閲覧注意】ローソンで使える5,000円分クーポンを騙る詐欺メール——AmazonとローソンのW偽装でフィルターをすり抜ける手口 
【緊急・実録】MyJCBを騙る偽「3Dセキュア再認証」詐欺メール発覚——SPF/DKIM両Pass偽装でフィルター突破、精巧な偽ログイン画面の全手口を解説 
【実録】総務省統計局を騙るアプリダウンロードキャンペーン詐欺メールの手口を公開! 
「受信メールが3通保留されています」のKAGOYAメールが届いたら要注意!BIGLOBEサーバー踏み台+化学会社サイト悪用+「kwwwa」偽ドメインという三重の罠を解剖