件名: 【重要】メルカリ本人確認のお知らせ
送信元 : no-reply@mercari.jp
Cc :
Bcc :
添付 :
日付 : 2021/10/29 15:08:31
| メルカリ からのメール |
| このたびはメルペイのご利用に際し、ご不便をおかけし申し訳ございません。 メルカリグループでは、不正利用防止および利用者保護の観点より、一時的にご利用を制限または、一部のお店や購入される商品によっては決済をご利用いただけない場合がございます。 本人確認の強化を行なっております。 「24時間以内」に下記リンクより認証を完了させてください。 メルカリ サインイン お客さまにはご不便をおかけし誠に恐れ入りますが、皆さまに安心・安全にご利用いただくための対応となっております。なお、当社の判断基準や詳細についてはご案内ができかねますことをご了承ください。ご理解とご協力をお願いするとともに、今後ともメルカリをよろしくお願いいたします。ーーーーーーーーーー 株式会社メルペイ ーーーーーーーーーー ※株式会社メルペイはメルカリの決済サービスを運営しています |
| @ Mercari, Inc |
「mercari.jp」からでも信じるな! 巧妙な送信元偽装の罠
【みぬ犬の独自分析メモ】
今回のメールは、これまでの「あからさまな偽ドメイン」とは一味違います。
送信元アドレスが no-reply@mercari.jp と表示されています。
これはメルカリの正規ドメインと全く同じです。
- 【送信元偽装(なりすまし)の恐怖】「アドレスが本物だから安心」と思ってはいけません。メールの「差出人(From)」欄は、手紙の差出人名と同じで、送信者が自由に書き換えることができます。専門的な知識が少しあれば、詐欺師が正規の mercari.jp を名乗ってメールを送ることは技術的に可能です(もちろん、サーバーの認証技術でブロックされることが多いですが、すり抜けて届く場合もあります)。「表示されているアドレス」は、あくまで「自称」に過ぎないことを肝に銘じてください。
- 【唐突な書き出しと期限設定】「メルカリ からのメール」冒頭がいきなりこれです。宛名もありません。そして「24時間以内に…」というお決まりの期限設定。本物のメルカリ事務局なら、まずアプリ内の「お知らせ」で通知を送ります。メールだけで、しかも24時間以内にリンクを踏ませて対応させるような運用はしません。
- 【判断基準は秘密?】「当社の判断基準や詳細についてはご案内ができかねます」これは、「余計な質問をしてくるな(ボロが出るから)」という犯人側の都合のいい言い訳です。本物の制限通知であれば、もう少し具体的な理由(不正アクセスの検知など)が添えられることが一般的です。
【ひと目でわかるサマリーBOX】
| 項目 | 内容 | |
| :— | :— | |
| 危険度 | ★★★★★(非常に危険・送信元偽装) |
| 【手口】カテゴリー | 本人確認偽装
送信元偽装(Spoofing)
期限設定(24時間以内) |
| 【なりすまし先】 | メルカリ(メルペイ) |
| 見抜くポイント | ①送信元が本物に見えても、リンクを踏ませようとする
②「メルカリ からのメール」という雑な書き出し
③アプリ内の通知を確認させる誘導がない |
| 主なターゲット | メルカリ・メルペイ利用者 |
【フィッシー団長の悪巧み】
フッフッフ…団長のフィッシーだ。
毎回「中国ドメインだ!」ってバレるから、今回は**「送信元の偽装(なりすまし)」**を使ったぞ。
表示上は mercari.jp に見えるように設定した!
これで「おっ、公式からだ!」と信じ込む奴が続出するはずだ。
リンク先はもちろん俺様の作った偽サイトだけどな。
「24時間以内」って急かせば、アドレスが本物に見える安心感と相まって、イチコロだ!ガッハッハ!
【探偵たちの捜査会議】
🐰ペコン:
「うわあああ!先輩!メルカリから『本人確認』のお知らせです!
見てください! 送信元が『no-reply@mercari.jp』です!
これ、本物のアドレスですよね!?
ついに本物が来ましたよ!
『ご利用を制限』されちゃうみたいだし、急いでサインインしなきゃ!」
🐱カワミ:
「ペコン君、画面の字面(じづら)に騙されるニャ! それは羊の皮を被った狼だニャ!
証拠①:アドレスは化粧できる
メールの送信元なんて、いくらでも厚化粧できるニャ。
『私はメルカリです』って名札をつけてる泥棒かもしれないニャ。
ここが本物に見えても、中身(リンク先)を見るまでは信用しちゃダメだニャン!
証拠②:挨拶が雑すぎる
『メルカリ からのメール』。
なんだその挨拶はニャ。
『こんにちは、ペコン様』とか言えないのかニャ?
宛名がないのは、不特定多数にばら撒いてる証拠だニャン!
証拠③:アプリを見ろ
本当に制限されてるなら、メルカリのアプリを開けばトップ画面にドーンと赤い帯が出てるはずだニャ。
メールのリンクをコソコソ踏ませようとするのは、アプリを見られたら嘘がバレるからだニャン!」
🐶みぬ犬:
「その通りだ!完璧な推理だ、カワミ君!
犯人はな、**「正規ドメインへのなりすまし」という技術的なブラフを使って信用させようとしている!
だが、「アプリへの誘導がないこと」と「リンク直接踏ませ」**の手口で、その目的がフィッシングだとバレているぞ!
鉄則を忘れるな!
『送信元が本物のアドレスに見えても、絶対に信用するな!』
『“本人確認”や“利用制限”のメールが来たら、リンクは踏まずに公式アプリを開け!』
こんななりすましメール、自信を持ってゴミ箱にシュートだぜ!」
【みぬ犬の総括】
メールシステムの仕様上、送信元の偽装は比較的容易に行える。
現在は「DMARC」などの認証技術で偽装メールをブロックする仕組みが進んでいるが、すり抜けて迷惑メールフォルダ(あるいは受信トレイ)に届くこともまだある。
「アドレス=本人証明」ではない。 このネット社会の真実を覚えておいてほしい。
【この事件から学べる防衛術】
教訓:メルカリの重要なお知らせは、必ず「アプリ」の中にあります。
今すぐできる対策:
✅ 「アプリ第一」の習慣:
メルカリからメールが届いたら、メールは閉じてスマホのメルカリ・アプリを起動してください。
右下の「マイページ」やベルマークの「お知らせ」に、同じ内容の通知が来ていなければ、そのメールは100%詐欺です。
✅ リンク先URLの確認:
メール内の「メルカリ サインイン」ボタンを長押し(スマホの場合)して、リンク先のURLを確認してください。
mercari.jp や mercari.com 以外のドメイン(例:mercari-support.xyz など)が表示されたら詐欺です。
✅ 送信元を過信しない:
「警察手帳を見せられたからといって、本物の警官とは限らない(偽造かもしれない)」のと同じで、メールアドレスの表示も偽造可能です。内容の真偽は、必ず別のルート(アプリや公式サイト)で確認しましょう。
この記事は役に立ちましたか?
もし参考になりましたら、下記のボタンで教えてください。
コメント