【解析】メルペイ「ご利用制限のお知らせ」は詐欺！Microsoft Azure経由で送信されクローキングを仕掛ける手口

2026年6月29日

【解析】メルペイ偽「ご利用制限のお知らせ」の正体：Microsoft Azure経由で送信されクローキングを仕掛ける手口を暴く

Heartland-Lab (ハートランド・ラボ) 専門調査レポート

「メルペイ」を名乗り、「ただいまご利用に制限がかかっています」として出品・購入・振込申請などの機能制限を理由に本人確認を求める詐欺メールが確認されました。Heartland-Labの調査により、送信元はMicrosoft Azureの基盤を経由して送信され、誘導先のフィッシングサイトには、調査環境からのアクセスを検知して内容の表示を拒否する「クローキング」が仕掛けられている可能性が高いことが判明しました。

※重要：HTMLメールとして配信されており、開封するだけでアクティブなアドレスとして攻撃者のリストに登録されるリスクがあります。

緊急性レベル	★★★★☆ (4/5)
偽装工作精度	★★★★☆ (4/5)

■ メールヘッダー解析（送信者情報）

件名：[spam] 【Merpay】ご利用制限のお知らせ／本人確認のお願い

送信者名：“メルペイ”

送信元アドレス：noreply@（ランダム文字列).hsjmge.com

真の送信元IP：20.59.106.67（アメリカ／Microsoft Azure）

中継経路：mail.7a358d5.cloud（152.220.15.126・アメリカ）を経由

受信日時：2026年6月29日（月）14:03頃（JST）

SPF認証：Pass（authorized） ※要注意

※メールヘッダー詳細は個人情報保護のため非掲載

ご覧の通り、このメールは公式メルペイを装った真っ赤な偽物です。被害を未然に防ぐため、この解析結果を家族のLINEグループに転送して注意喚起してください。

※以下の内容は届いた詐欺メールを技術検証のために忠実に再現したものです。

m Pay

メルカリメルペイをご利用いただきありがとうございます。

ただいまご利用に制限がかかっています。

【制限されている機能】出品/購入/振込申請/いいね!/コメント

ご本人様であることを確認していただくと、制限を解除できます。
ログイン後に本人確認情報を入力するだけで、簡単に制限を解除できます。

【ご本人である場合、こちらから解除が可能です】

merpay

※このメールアドレスは送信専用です。ご返信いただいても対応できませんのでご了承ください。

お困りの場合は、こちらのガイドを参照のうえお問い合わせください。
※配信停止をご希望の方はこちらからお手続きください。

株式会社メルペイ
株式会社メルペイはメルカリの決済サービスを運営しています

「出品/購入/振込申請/いいね!/コメント」と、制限される機能を具体的に並べることで、本物の通知らしさを演出しています。しかし、メルペイ公式は本人確認をメール経由のリンクから求めることはありません。

■ 送信ルート及び偽装判定

送信元ドメインの正体：
送信元アドレスのドメイン部分「hsjmge.com」は、メルペイ・メルカリとは一切関係のない、攻撃者が用意したとみられるドメインです。

SPF Pass の意味：
本メールはSPF認証の結果が「Pass（合格）」となっています。これは攻撃者がこのドメインを自分で取得・設定し、正規の送信インフラとして構築したためです。「認証に合格しているから本物」とは限りません。

【偽装判定】：
正規のメルペイからのメールは「merpay.com」「mercari.com」などの公式ドメインから送信されます。「hsjmge.com」はこれらとは全く異なります。

発信元ロケーション解析：
真の送信元IPアドレス「20.59.106.67」を調査した結果、Microsoft Azureの基盤上、アメリカから送信されたことが判明しました。さらにヘッダーには、別の中継サーバー「mail.7a358d5.cloud」（152.220.15.126・アメリカ）を経由して送信された記録も残っており、複数のクラウドサービスを乗り継いで送信元を分かりにくくする構成になっています。
詳細：【ip-sc.netで確認する】

※Microsoft Azureは世界中の企業が利用する正規のクラウドサービスです。攻撃者がこうした正規インフラを契約し、メール送信の踏み台として悪用しているとみられます。

■ フィッシングサイト詳細解析

誘導先URL（伏せ字）：hxxps://1czasdac[.]zxgckj[.]com/lwfdfece

リンクドメイン：zxgckj.com（メルペイとは無関係の、意味のない文字列ドメイン）

サイトサーバーIP：104.21.16.130 ／ 172.67.212.183（いずれもCloudflare）

ロケーション（Cloudflare代表地点）：カナダ・オンタリオ州トロント
詳細：【104.21.16.130をip-sc.netで確認する】／【172.67.212.183をip-sc.netで確認する】

【サイトの状態】：このリンクへアクセスすると、本来表示されるはずの偽ログイン画面の代わりに、「アクセス制限／現在のネットワーク環境は安全ではありません」という表示が出ました。本物のフィッシングサイトであれば、ごく普通の閲覧環境からは偽サイトが正常に表示されるはずです。調査用の環境やセキュリティ機関と疑われるアクセス元を判別し、内容の表示を意図的に拒否している「クローキング」という手口の可能性があります。

※解析データに基づき、本サイトはアクセス元の環境を判定して表示内容を切り替える構成になっている可能性が確認されています。ロケーション情報は調査時点（2026年6月）のものであり、日々変化する可能性があります。

※実際に届いたメールの画面です。「出品/購入/振込申請/いいね!/コメント」と制限機能を具体的に列挙しています。

※メール内のリンク先にアクセスした際に表示された画面です。本来の偽サイトは表示されませんでした。

■ 注意点と対処法

メール内のリンクは絶対にクリックしない：「いつもと違う経路でログイン画面が表示されたら、見分けようとせずまず疑う」のが基本です。
送信元アドレスの「@以降」を確認する：正規のメルペイ・メルカリからのメールは「merpay.com」「mercari.com」等の公式ドメインから届きます。
制限状況の確認は公式アプリから：ご利用制限の有無は、メール内のリンクではなく、必ず公式アプリやブックマークした公式サイトから確認してください。
公式注意喚起の参照：メルカリを装ったフィッシングメールやフィッシングサイトにご注意ください
万が一情報を入力してしまった場合：すぐにメルカリ・メルペイのパスワードを変更し、同じパスワードを使っている他のサービスのパスワードも見直してください。不審な点があれば「phish@mercari.com」へ転送して報告できます。

本レポートの結論

「ただいまご利用に制限がかかっています」と通知する本メールは、Microsoft Azureの基盤を経由して送信されたメルペイの完全な偽物です。誘導先のフィッシングサイトはCloudflareの裏に隠され、さらに調査環境からのアクセスを拒否するクローキングまで仕掛けられている可能性があります。手口が巧妙化していることの裏返しでもあり、引き続き警戒が必要です。身近な人が騙されてからでは手遅れです。この記事のURLをコピーして、家族のLINEグループで『これ気をつけて！』と共有してあげてください。

LINEで共有する

Data Provided by Heartland-Lab Security Research Unit
根拠データ参照元：ip-sc.net