【調査報告】メルカリを騙る「お支払い機能停止」フィッシングメールの解析

【調査報告】最新の詐欺メール解析レポート

メールの解析結果:メルカリを騙るフィッシング詐欺の構造分析

 

最近のスパム動向

今回ご紹介するのは「メルカリ」を騙るメールですが、その前に最近のスパムの動向を解説します。2026年に入り、新生活や大型連休を控えた時期を狙い、決済権限の停止を装ってクレジットカード情報を盗み出す「期限切れ」「機能停止」を謳う手口が非常に活発化しています。特にフリマアプリは利用者が多いため、無差別に送信される攻撃の標的となりやすい傾向にあります。

 

メール基本情報

件名 [spam] 【要対応】お支払い機能が停??中です|カード情報の更新をお願いします No.179268
件名の見出し 件名の「[spam]」は、サーバーの検知システムがこのメールを「迷惑メール(スパム)」と自動判定した際に付与される警告タグです。
送信者 “メルカリ運営事務局” <info@mercari.co.jp>
受信日時 2026-04-03 09:15

送信者に関する情報:公式アドレスを装っていますが、中身は「なりすまし」です。受信者のメールアドレスが盗用され、偽の送信元として設定されるケースも増えています。

 

メール本文(再現)

※できる限り忠実に再現していますが、本物の詐欺メールとデザインが異なる場合もあります。


メルカリ
このたびはメルカリをご利用いただき、誠にありがとうございます。

■ お支払い機能が一時停止中です

ご登録いただいているクレジットカードの有効期限切れ、またはご利用停止が確認されたため、現在以下の機能がご利用いただけません。

商品の購入および決済
メルカリポイントの購入
メルカリギフト券の購入

■ 新しいカード情報をご登録ください

新しいクレジットカード情報をご登録いただくと、すべての機能がすぐに復旧します。

▼ カード情報を登録 更新する
hXXps://www.mercari.com/jp/settings/paymXXt/

※手続きにはメルカリアプリへのログインが必要です(約2分)
※公式サイトへのアクセスをご確認の上、お手続きください

■ ご確認いただきたい事項

新しいカード情報登録後は、そのままお支払いにご利用いただけます
カード会社によっては、追加のセキュリティ認証が必要な場合があります

ご不明な点は、メルカリアプリ内の「お問い合わせ」よりご連絡ください。

メルカリ(mercari)運営事務局
ヘルプセンター:hXXps://www.mercari.com/jp/heXX/
本メールは配信専用のため、ご返信いただいてもお受けできません。

6IN3RKTE3 [Ref: MRC-20260405-001]

 

メールの目的及び感想

【犯人の目的】
受信者を偽のログイン画面に誘導し、メルカリのログインID/パスワード、およびクレジットカード情報を盗み取ることが目的です。
【専門的解説】
デザインはモノトーンで事務的ですが、件名の「停??中」という文字化けは、非日本語圏のシステムから送信された際によく見られる現象です。公式事務局のメールでこのような不備が出ることはまずありません。また、文末に管理番号を添えることで、受信者に「正式な通知」であると錯覚させる心理的な罠が仕掛けられています。

 

危険なポイント・対処法

このメールにはメルカリ独自の「ロゴ画像」が使用されていませんが、もし画像が添付ファイルとして送られてきた場合は、画像にウイルスを仕込む、あるいはメールフィルターの網を逃れるための工作である可能性が高いです。
【公式サイトの注意喚起】
メルカリ公式でも同様の事例について強く警告しています。不審な点があれば、必ず以下の公式情報を参照してください。
https://help.jp.mercari.com/guide/articles/279/

 

Received: 送信元情報(調査根拠)

以下のIPアドレスは、この詐欺メールが実際にどのサーバーから送られてきたかを示す、改ざん不能な証拠データです。

Receivedホスト dietton.com
送信元IPアドレス 34.180.83.72
ホスティング Google Cloud (bc.googleusercontent.com)
国名 United States (アメリカ合衆国)
ドメイン登録日 Whois解析の結果、攻撃用に不正取得された可能性が高いドメインです。

詳細解析データ:https://ip-sc.net/ja/r/34.180.83.72

 

誘導先フィッシングサイト解析

リンク箇所 本文中央のボタンおよび偽装URLリンク
リンク先URL hXXps://hhgrbxavrbzb.top/xhdsdgdd/(伏せ字加工)
判定結果 Google・ウイルスバスター共に「危険」としてブロック
サイト状態 現在は「We apologize, but your request has timed out…」というエラー表示で稼働停止中か、特定のアクセスのみを許可する設定になっています。

 

サイト回線関連情報(ip-sc.net)

リンク先ドメイン hhgrbxavrbzb.top
IPアドレス 104.21.35.191
ホスティング Cloudflare, Inc.
国名 United States (アメリカ合衆国)
ドメイン登録日 最近登録されたドメインです。詐欺サイトは足がつくのを防ぐため、数日~数週間で破棄されるドメインを使い回します。

詳細解析リンク:https://ip-sc.net/ja/r/hhgrbxavrbzb.top

 

詐欺サイトの現状(画像)

We apologize, but your request has timed out. Please try again or check your internet connection. For further assistance, contact our support.

※現在、該当のURLにアクセスすると上記のようなエラーメッセージが表示されるようになっています。これは通報によりドメインが停止されたか、攻撃者が一時的にサイトを隠蔽している状態です。

 

まとめ・対処方法


過去の事例と比較しても、本件はドメイン名が無作為な英数字の羅列(hhgrbxavrbzb.top)であり、ひと目で偽物と判別できる典型的なパターンです。もしメールにメルカリの正しい電話番号が記載されていたとしても、リンク先が正規ドメイン(mercari.com)でない限り、絶対に情報を入力しないでください。

1. 届いたメールのリンクは開かない。
2. メルカリ公式アプリを直接起動して状況を確認する。
3. ブラウザのブックマークから公式サイトへアクセスする。

メルカリ公式:不審なメール・SMSにご注意ください

詐欺メール,メルカリお支払い機能停止,カード情報更新,スパム解析,セキュリティレポート,なりすまし,ネット詐欺,フィッシング,メルカリ,個人情報保護,注意喚起,詐欺メール

Posted by heart