メルカリやメルペイを装い、メルカリとそっくりな偽サイト(フィッシングサイト)に誘導し、メールアドレスやパスワードを入力させようとする不審なメール・ショートメッセージ(SMS)が確認されています。
攻撃手法の巧妙化に伴い、これらの不審なメール・SMSを本物かどうか判断することは困難です。メルカリを名乗るメール・SMSが届いても、記載されているリンクは開かずに、公式アプリやブックマーク・検索サイト経由でメルカリ公式サイトをご確認いただくようお願いいたします。
フィッシング詐欺とは?
メールなどで本物そっくりの偽サイトに誘導して、パスワードやクレジットカード情報などを盗み出す行為のことをフィッシング詐欺といいます。
盗み出した情報は、闇市場で売買されたり、あなたになりすましてメルカリや他社サービスを利用するために使われます。複数の他社サービスで同じIDとパスワードの組み合わせを使っている方が多いことから、盗まれた情報はさまざまなサービス上で不正にログインを試みるために使われることがあります。
メルカリを装ったフィッシングメールの実例
以下のメールが実際にメルカリのお客様を狙ったフィッシング詐欺に使われたものです。
メルカリのロゴマークを使ったり、過去にあったキャンペーンの文章を引用したりして、本物のメルカリからのメールのように見せかけていますが、ボタンやリンクをクリックすると偽のメルカリのページに遷移します。
そこでお客さまに「パスワード」「SMS認証番号」「パスコード」などの情報を入力させ、攻撃者は取得した情報を悪用しようとします。
*実際にあったフィッシングメールの例
メールやSMS以外の誘導手口
最近は、SNSに詐欺広告を掲載し、広告をクリックすると偽のメルカリのウェブサイトへ遷移するという手口も確認されています。これらの詐欺広告は、相場からは考えられないくらい安い価格で商品を宣伝している傾向があります。
普段使っているSNSの広告でも、広告からの遷移先にお客さまの情報は入力せず、公式サイトや公式アプリから商品を検索してください。
*偽のメルカリサイトに遷移する詐欺広告(過去事例)
メルカリを装うフィッシングサイトの実例
これらのフィッシングメール・SMSや詐欺広告から遷移したメルカリの偽サイトは、本物をコピーして作られているため本物そっくりです。画面を見ただけで偽物と見破ることは困難です。
メルカリのログイン画面が表示されたらまずは疑って、ブックマークや公式アプリなどのいつもと同じ方法でメルカリにアクセスしてください。
*メルカリを装うフィッシングサイト画面の一部(過去事例)
メルカリを装うフィッシングの最新情報についてはニュースをご確認ください
最新のお知らせについてはアプリおよび公式ブログへも掲載しているので併せてご確認ください。
ニュースの確認方法は以下をご確認ください。
・アプリ:ホーム画面 > お知らせ > ニュース
・Web:マイページ > ニュース一覧
フィッシングサイトにパスワードを入力してしまったら
不審なサイトにパスワード等の情報を入力してしまった場合、以下のメルカリガイドに従ってご対応をお願いいたします。
メルカリガイド:不審なWebサイトへアクセスしてしまった場合の対処方法
メルカリを装ったフィッシング詐欺の報告窓口
メルカリでは、調査のために皆さまからのフィッシング詐欺のご報告を募集しております。
なお、ここでご紹介するphish@mercari.comは受信専用のメールアドレスとなるため返信は行いません。カスタマーサービスからの返答が必要な方は、公式アプリもしくは公式サイトの「お問い合わせ」からお問い合わせください。
不審なメール
不審なメールを phish@mercari.comにご転送ください。
追加のメッセージや件名の変更は必要ございません。
不審なSMSメッセージ
コピーした内容を phish@mercari.com にお送りください。
追加のメッセージや、件名の追加は必要ございません。
不審なウェブサイト
メールやSMS以外でも、不審なメルカリを騙っていると思われるウェブサイトに誘導された場合は、そのウェブサイトのアドレスをコピーして、phish@mercari.com にお送りください。
追加のメッセージや、件名は必要ございません。
いただいた内容に基づいてメルカリのセキュリティチームが調査を行い、安全対策に活用します。なお、いただいた情報は、不正対策目的など、プライバシーポリシーに従い使用させていただきます。