悪質な第三者がお客さまに対して悪意のあるメールやSMSを送り、メルカリに似たフィッシングサイトに誘導しようとしている事例が確認されています。
これらのウェブサイトはお客さまからログイン情報や個人情報、支払い情報といった機密情報を窃取する仕組みになっています。
これら攻撃の手法は巧妙になっており、本物と偽物のメッセージを見分けることがますます難しくなっています。メルカリを名乗るメールやテキストメッセージを受け取ってもリンクはクリックせず、公式のメルカリアプリを開くか、ブックマークを使用して公式のウェブサイトに直接アクセスするようお願いいたします。
フィッシング詐欺とは?
フィッシングとは、メールやテキスト、SNSメッセージなどのメッセージを送信したり電話をかけたりして、本物のウェブサイトと非常に似た偽のフィッシングサイトに誘導することで、ログイン情報や支払い情報、その他の個人情報を不正に盗もうとする詐欺行為のことです。
盗まれた情報は悪意のある人物によって他の犯罪や詐欺行為に利用されることがあります。また、多くの人が複数のウェブサイトやアプリで同じIDやパスワードを使いまわしているため、盗まれた情報が他のサービスで不正ログインを試みるために使われることもあります。
フィッシングから身を守るには?
- パスキーを登録しましょう。パスキーはパスワードよりも安全な代替手段です。パスキーを利用すればFace IDや指紋認証、さらにデバイスのログイン時に使用するPINでメルカリのアカウントにアクセスできます。こちらの手順に従ってパスキーを登録してください
- パスワードを使用している場合は、各サービスごとに異なる強力なパスワードを設定しましょう。パスワードマネージャーを使用してパスワードを生成し、安全に保管することを推奨しています
- 多要素認証(MFA)をご利用ください
- 対応を急がせ、リンクをクリックしたりファイルをダウンロードしたりするよう促すメール、テキストメッセージ、電話には注意が必要です(例:アカウントを確認するために24時間以内にリンクをクリックしないとアカウントが永久停止されるといったもの)本物であると確信できる場合を除き、リンクをクリックしたり添付ファイルやデータを開いたりしないでください
- 必ず、メルカリのアプリを使用する、ブラウザにURLを直接入力する、ブックマークしたログインページを経由するといった方法でメルカリアカウントにログインしてください
- 送信者のメールアドレスを確認し、不審な点やスペルミスのあるメールドメインに注意してください
- 情報の信頼性を確認したい場合はメルカリに直接ご連絡ください
フィッシングメッセージの例
以下の例では、悪意のある人物がメルカリのロゴを使用し、過去のプロモーションキャンペーンについて触れることでメルカリからの正式なメールのように見せかけています。しかし、ユーザーがメッセージのボタンやリンクをクリックするとフィッシングサイトにリダイレクトされ、パスワードや、犯罪者がメルカリのアカウント乗っ取るために必要なその他の情報を入力するよう求められます。
*実際にあったフィッシングメールの例
SNSで宣伝されたフィッシングウェブサイト
他の典型的な手法として、SNS上に通常ではありえないほど安い価格が表示されているフィッシングサイトを掲載する方法があります。ユーザーが広告をクリックすると、フィッシングウェブサイトにリダイレクトされます。
有名なSNSサイトに広告が掲載されている場合でも、広告をクリックしてアクセスしたウェブサイトにはログイン情報や個人情報を絶対に入力しないようにしましょう。購入を行う際は必ず公式のメルカリアプリかウェブサイトを使用してください。
*フィッシングサイトにユーザーを誘導する詐欺広告の実例
フィッシングサイトの例
フィッシングメールやテキストメッセージ、偽の広告には、メルカリのユーザーインターフェース(UI)が模倣されているものが多数あり、中には見た目だけでは本物のサイトとフィッシングサイトを区別するのは難しいものもあります。フィッシングから身を守るため、アカウントにログインする場合は必ず公式のメルカリアプリかウェブサイトを使用してください。
*メルカリを装うフィッシングサイト画面の一部
フィッシングや不正行為に関する最新情報についてはニュースをご確認ください
報告を受けたフィッシング事例に関する情報やお知らせは、アプリや公式ブログのニュースに掲載しています。
ニュースの確認方法は以下をご確認ください。
アプリ:ホーム画面 > お知らせ > ニュース。
ウェブサイト:マイページ > ニュース一覧。
不審なサイトに機密情報を入力してしまったら
不審なサイトにパスワードや機密情報を入力してしまった場合、以下のヘルプセンター記事に従って対応してください。
フィッシングの報告
不審なメールやテキストメッセージを受け取ったり、メルカリを装った疑わしいウェブサイトに誘導された場合はphish@mercari.com に転送してください。(このメールアドレスは受信専用で、返信は行いませんのでご了承ください)
カスタマーサービスからの返答をご希望な場合、公式アプリ、または公式サイトの「お問い合わせ」からご連絡ください。
フィッシングの報告方法
- メールの場合はそのまま転送してください
- テキストメッセージの場合は、不審なメッセージのコピーを送ってください
- 不審なウェブサイトの場合はURLをコピーして送ってください
これらセキュリティに関する問題を報告していただく際に、件名を変えたり、その他の情報を含める必要はありません。
メルカリのTrust and Safetyチームが報告に関する調査を行います。提供していただいた情報は不正行為の防止や、プライバシーポリシーに記載されたその他の目的のために使用させていただきます。