件名: メルカリ【重要:必ずお読みください】
送信元 : no-reply@mercari.jp
Cc :
Bcc :
添付 :
日付 : 2022/3/2 11:40:19
| メルカリ からのメール |
| このたびはメルペイのご利用に際し、ご不便をおかけし申し訳ございません。 メルカリグループでは、不正利用防止および利用者保護の観点より、一時的にご利用を制限または、一部のお店や購入される商品によっては決済をご利用いただけない場合がございます。 本人確認の強化を行なっております。 「24時間以内」に下記リンクより認証を完了させてください。 メルカリ サインイン お客さまにはご不便をおかけし誠に恐れ入りますが、皆さまに安心・安全にご利用いただくための対応となっております。なお、当社の判断基準や詳細についてはご案内ができかねますことをご了承ください。ご理解とご協力をお願いするとともに、今後ともメルカリをよろしくお願いいたします。ーーーーーーーーーー 株式会社メルペイ[メールコード M7278] ーーーーーーーーーー ※株式会社メルペイはメルカリの決済サービスを運営しています |
| @ Mercari, Inc |
Paidyの次はメルカリ! 単語を入れ替えただけの「置換」攻撃
【みぬ犬の独自分析メモ】
これは2022年3月2日のアーカイブ検体です。
このメールは、2月下旬に猛威を振るった**「Paidy詐欺メール(2/24, 2/25)」と完全に同じDNA**を持っています。
犯人は、Paidy用の攻撃テンプレートにある「Paidy」という単語を、機械的に「メルカリ(メルペイ)」に書き換えて送信しています。
- 【「置換」の決定的な証拠】
- Paidy版(2/24): 冒頭
paidyからのメール- メルカリ版(今回): 冒頭 メルカリ からのメールこの、あまりにも雑で事務的な書き出し。公式なら「平素はメルカリをご利用いただき…」と書くところを、元のテンプレートの構造をそのまま維持しているため、不自然な日本語になっています。本文の ご不便をおかけし申し訳ございません から始まる構成も、Paidy版と完全に一致します。
- 【時系列のミッシングリンク】以前分析したメルカリ詐欺メールは**3月9日(件名:ワンタイムURL)でした。今回の検体は3月2日(件名:重要:必ずお読みください)**です。つまり、犯人は2月末にPaidyを攻撃した後、3月頭からメルカリへの攻撃を開始し、件名を変えながら(重要→ワンタイムURL)継続的にスパムをばら撒いていたことが分かります。
- 【メールコードの法則性】署名:[メールコード M7278]Paidyの時は「P」でしたが、メルカリだから「M」。3月9日の検体(M28)とは数字が異なりますが、「M+数字」という適当なフォーマットは共通しています。
【ひと目でわかるサマリーBOX】
| 項目 | 内容 | |
| :— | :— | |
| 危険度 | ★★★★☆(ユーザー数が多く被害が出やすい) |
| 【手口】カテゴリー | アカウント制限偽装
テンプレート使い回し(単語置換)
時間制限脅迫(24時間以内) |
| 【なりすまし先】 | メルカリ(メルペイ) |
| 見抜くポイント | ①冒頭が「メルカリ からのメール」と雑
②本文が2月のPaidy詐欺と瓜二つ(コピペ)
③「24時間以内」という定型的な脅し文句 |
| 主なターゲット | メルカリ・メルペイ利用者 |
【フィッシー団長の悪巧み】
クックック…Paidyの次はメルカリだ!
いちいち新しい文章なんて考えないぞ。
パソコンの「すべて置換」機能を使えば一発だ!
「Paidy」を「メルカリ」に変えて、ポチッとな。
ほら、あっという間にメルカリ用の脅迫メールの完成だ!
メルカリ からのメール …うん、シンプルでいいだろ?
意味が通じれば騙せるんだよ!ガッハッハ!
【探偵たちの捜査会議】
🐰ペコン:
「うわあああ!先輩!メルカリから『重要』なお知らせです!
『メルペイのご利用制限』だって!
これ、前にも見た気がします…。
『24時間以内』に認証しないといけないやつですよね?
Paidyの時も来ましたけど、メルカリも同時に制限されちゃったんですか!?
僕のスマホ、呪われてるんじゃ…!」
🐱カワミ:
「ペコン君、呪われてるのは君のスマホじゃなくて、犯人のボキャブラリーだニャ!
証拠①:検索して置換
このメール、Paidyの時の文章の単語を入れ替えただけだニャ。
『Paidyからのメール』が『メルカリからのメール』になっただけ。
手抜き料理にも程があるニャン!
証拠②:公式らしくない挨拶
『メルカリ からのメール』。
なんて愛想のない挨拶だニャ。
自分から名乗るにしても、もっと丁寧な言い方があるはずだニャン。
これはテンプレートの残骸だニャ!
証拠③:終わらない24時間
2月からずっと『24時間以内』って言ってるニャ。
犯人は常に時間を区切って焦らせることしか能がないニャン!」
🐶みぬ犬:
「その通りだ!
この検体は、3月上旬の**『メルカリ攻撃キャンペーン』の初動**を捉えたものだ。
犯人は2月のPaidy攻撃で使ったツールを、設定だけ変えて再利用している!
鉄則を忘れるな!
『サービス名が違っても、文章の構成やリズムが同じなら同一グループの犯行!』
『冒頭が“〇〇からのメール”という書き出しなら、それは置換ツールの名残り!』
こんな名前だけ変えたリサイクルなりすましメール、自信を持ってゴミ箱にシュートだぜ!」
【みぬ犬の総括】
2022年春の「置換コピペ攻撃」タイムライン:
- 2月下旬:Paidyを攻撃(件名:緊急の連絡など)
- 3月2日:メルカリを攻撃(件名:重要:必ずお読みください) ←今回
- 3月9日:メルカリを攻撃(件名:ワンタイムURL)
こうして並べると、犯人がターゲットをシフトさせながら、件名のテストも繰り返していた様子が手に取るように分かります。
1900件のデータベースが、犯人の行動パターンを完全に丸裸にしましたね。
【この事件から学べる防衛術】
教訓:詐欺メールは、テンプレートの「着せ替え人形」。
今すぐできる対策:
✅ 書き出しの違和感:
「メルカリ からのメール」。
公式メールでこの書き出しはまずありません。ここを見た時点で違和感を持ってください。
✅ アプリ通知の鉄則:
メルカリ(メルペイ)の利用制限は、必ずアプリ内の「お知らせ」に赤バッジで通知されます。
メールが来ても、まずはアプリを開く。これを徹底すれば100%防げます。
✅ 置換を疑う:
「この文章、前はAmazonで見たな」「前はPaidyだったな」。
その記憶は正しいです。詐欺師は同じ文章を使い回します。
この記事は役に立ちましたか?
もし参考になりましたら、下記のボタンで教えてください。
コメント