近年、フリマアプリ「メルカリ」の利用者を狙ったフィッシング詐欺が急増しています。特に問題となっているのが、本物のメルカリ公式サイトと見分けがつかないほど精巧に作られた偽サイトの存在です。これらの偽サイトは、ロゴやデザイン、レイアウトまでピクセル単位で本物をコピーしており、一般のユーザーが見分けることは極めて困難な状況にあります。月間利用者数が2,000万人を超えるメルカリは、サイバー犯罪者にとって魅力的な攻撃対象となっており、アカウント情報や個人情報、さらには金融資産を狙った巧妙な手口が次々と登場しています。フィッシング対策協議会の報告によれば、2024年3月にはフィッシング報告件数が前月比約75.1%増の97,163件に達し、メルカリはAmazonや大手カード会社と並び最も頻繁に悪用されるブランドとなっています。本記事では、メルカリの偽サイトがどれほど巧妙に作られているのか、どのような手口で利用者を騙そうとしているのか、そして被害に遭わないためにはどうすればよいのかを詳しく解説します。
メルカリを狙うフィッシング詐欺の現状
2024年から2025年にかけて、メルカリを標的としたフィッシング詐欺は質的にも量的にも大きく進化しています。かつてのフィッシングメールは不自然な日本語や粗雑なデザインで見分けることが比較的容易でしたが、現在観測されている攻撃では生成AIを悪用したと思われる極めて自然な日本語の文面が使用されています。
セキュリティベンダー各社の分析によると、年末年始の時期にメルカリを標的としたフィッシングキャンペーンが特に活発化する傾向があります。これは、年末の大掃除や断捨離に伴う不用品の出品需要、ホリデーシーズンのギフト購入、年末の出費を補うための換金ニーズなど、プラットフォーム上のアクティビティが増加するタイミングを攻撃者が意図的に狙っているためです。
2024年9月から10月にかけては、メルカリのフィッシングサイト報告数が約3倍に急増したというデータもあります。この背景には、攻撃ツールキットの低価格化やフィッシング代行サービスの普及があり、技術的な専門知識を持たない犯罪者でも容易に高度な攻撃を実行できる環境が整ってしまったことが挙げられます。
本物そっくりに作られた偽サイトの技術
メルカリの偽サイトが特に危険なのは、その完成度の高さにあります。攻撃者は単純にHTMLソースコードをコピーしただけの静的なページを作るのではなく、より高度な技術を駆使しています。
近年主流となっているのがリバースプロキシ方式です。この手法では、偽サイトが本物のメルカリ公式サイトに対してリアルタイムで通信を行い、常に最新のデザインや機能を模倣します。利用者が偽サイトに入力したIDとパスワードは、バックグラウンドで本物の公式サイトに転送され、ログイン試行が行われます。さらに、二段階認証のコードが求められた場合でも、偽サイト上で即座にその入力画面が表示される仕組みになっています。
利用者がSMSに届いた認証コードを偽サイトに入力すると、攻撃者はそれをリアルタイムで公式サイトに入力し、認証を突破します。これは中間者攻撃と呼ばれる手法で、従来の静的なフィッシング対策では検知が極めて困難です。視覚的には本物のメルカリサイトと完全に同一であり、ロゴ、フォント、色彩、レイアウトに至るまでピクセル単位で模倣されています。
巧妙に偽装されたURLの罠
偽サイトを見分ける最も重要な要素はURLのドメイン名ですが、攻撃者はここにも巧妙な罠を仕掛けています。セキュリティリサーチャーが観測したデータから、いくつかの典型的なドメイン偽装パターンが明らかになっています。
最も一般的なのがサブドメイン悪用です。正規ドメインのように見える文字列、たとえば「jp.mercari」をURLの先頭部分に配置し、実際のドメイン部分である「efhud.xyz」などを目立たなくさせる手法です。スマートフォンのブラウザではURLが省略表示されることが多いため、この手法は特に効果的です。
また、タイポスクワッティングと呼ばれる手法も頻繁に使用されています。正規のブランド名に「support」「bot」「login」などの一般的な単語を付加したり、類似した綴りを用いることで、一見正規のサイトのように見せかけます。「mercari」という文字列が含まれているため、利用者は安心してしまいがちです。
さらに高度な手法として、ホモグラフ攻撃があります。これはアルファベットに酷似した国際化ドメイン名を使用し、人間の目では区別がつかないURLを生成する手法です。たとえば、英語の「a」をキリル文字の「а」に置換することで、ブラウザのアドレスバー上では本物に見えるドメインを作り出すことができます。
無関係なランダムな文字列のドメインや、Googleサイトなどの無料ホスティングサービスを悪用するケースも確認されています。短縮URLサービスを経由させることで、実際の行き先を隠蔽する手口も常套手段となっています。
利用者を騙す心理的トリガー
攻撃者は、技術的な偽装だけでなく、人間の心理を巧みに操ることでクリックを誘発します。フィッシングメールやSMSには、恐怖、不安、射幸心といった根源的な感情を刺激する文言が使用されています。
最も成功率が高いのが利用制限や警告を装うメッセージです。「【重要】メルカリの使用制限」「不審なログイン試行の検出」「【メルカリ】一時的な利用停止、ログインして確認してください」といった件名は、アカウントが使えなくなる、売上金が没収されるかもしれないという恐怖を煽り、思考停止状態に陥らせて即座に行動させることを狙っています。
事務連絡や確認を装うタイプも一般的です。「登録情報確認のお願い」「重要なお知らせ」といった文言は、定期的なメンテナンスやセキュリティチェックの一環を装い、利用者に手続きを完了させなければならないという義務感を持たせます。特に「失敗しました」という文言は、問題を解決したいという欲求を強く刺激します。
メルペイの普及に伴い増加しているのが取引や決済関連を装う手口です。「ご利用明細更新のお知らせ」「ご請求額のお知らせ」「ご注文の変更確認」といったメッセージは、身に覚えのない請求や注文変更を通知し、誤請求を取り消さなければならない、誰かに勝手に使われたのではないかというパニックを引き起こします。
これらのメール本文には「24時間以内に対応しないとアカウントが削除されます」「セキュリティ保護のためパスワードの再設定が必要です」といった、行動を急かす文言が含まれていることが常です。これは利用者に冷静に真偽を確認する時間を与えないための常套手段です。
スマートフォンを狙うスミッシングの脅威
メール以上に開封率が高く危険なのが、SMSを用いたスミッシングです。スマートフォンには標準でセキュリティソフトが導入されていないケースが多く、また画面サイズが小さいためにURLの全体像を確認しにくいという特性があります。
攻撃者は宅配便の不在通知を装う手口を多用しますが、リンク先がメルカリの偽ログイン画面になっているケースも頻繁に観測されています。これは、メルカリ利用者の多くが発送や受取のプロセスにあることを悪用した、文脈依存型の攻撃です。利用者が実際に商品を待っている状態であれば、不在通知のSMSが届いても不自然に感じないため、警戒心が下がりやすくなります。
アプリ内メッセージを悪用する新手口
2024年後半から新たに確認され始めているのが、メルカリのアプリ内メッセージ機能やコメント機能を悪用したフィッシングです。攻撃者が一般の購入者や出品者になりすまし、取引メッセージや商品コメント欄を通じて接触してきます。
「新しい規則により本人確認が必要です」「決済エラーが出たので、こちらのリンクから確認してください」といったメッセージとともに、外部サイトへのQRコードや短縮URLを送りつける手口です。利用者はメルカリのアプリ内でやり取りしている相手だから安全だろうという思い込みにより、警戒心が下がりやすくなります。
また、アプリのUI上で外部へのリンク警告が表示されても、取引相手の指示だからと無視してしまう傾向があります。海外のコミュニティでは、Gmailアドレスへの誘導や、偽のメルカリボットを名乗るアカウントからのDM事例が多数報告されており、プラットフォームの信頼性を逆手に取った極めて悪質な手法といえます。
段階的に情報を奪い取る手口
偽サイトにアクセスした利用者に対し、攻撃者は段階的に情報を入力させることで、価値のある情報を徹底的に奪い取ろうとします。
まず最初に、メールアドレスとパスワードを入力させます。これが攻撃の起点となります。次に、本人確認やアカウントロック解除を名目として、氏名、住所、生年月日、電話番号といった個人情報を入力させます。
さらに、セキュリティ強化のためクレジットカードの再登録が必要ですという口実で、カード番号、有効期限、セキュリティコード、さらには3Dセキュアのパスワードまで入力させるケースもあります。
極めて悪質なケースでは、運転免許証やマイナンバーカードの画像をアップロードさせる事例も確認されています。これは、厳格な本人確認を突破するため、あるいは他のサービスでの不正契約に悪用するために収集されます。
また、セキュリティソフトのロゴを無断使用し、セキュリティ対策ソフトをインストールしてくださいと偽って不正なアプリをダウンロードさせようとする、フィッシングとマルウェア感染のハイブリッド攻撃も報告されています。
被害の実態と深刻な影響
フィッシング詐欺の被害は、単なるパスワードの流出にとどまりません。メルカリが決済サービス「メルペイ」を提供していることにより、アカウントの乗っ取りは即座に現金被害へと直結します。
実際の被害事例では、被害者がある朝メルカリから「140,000円の商品を購入しました」という通知を受け取り、身に覚えのないNintendo Switch 2台セットの購入を知ることから始まりました。確認すると、メルペイスマート払いの枠が悪用され、千葉や都心のコンビニエンスストアで5,800円程度の商品が大量に購入されており、被害総額は約25万円に達していました。
アカウントに侵入した攻撃者は、即座に配送先住所を変更していました。被害者はフィッシングメールを受信していた記憶はあるものの削除していたと認識しており、どこで認証情報が漏れたのか困惑しています。また、二段階認証を設定していたにもかかわらず突破された形跡があり、前述の中間者攻撃やセッションハイジャックの可能性が示唆されます。
金銭的な被害に加え、乗っ取られたアカウントが悪用されることによる社会的信用の毀損も深刻です。攻撃者は、乗っ取った評価の高い信頼できるアカウントを悪用し、架空の人気商品を格安で出品します。購入者から代金を受け取ると商品は発送せずに持ち逃げします。
この場合、騙された購入者から見れば、詐欺を働いたのはアカウントの持ち主に見えます。結果として、本来の被害者が詐欺の加害者として通報され、アカウントの永久停止処分を受けたり、最悪の場合は警察の捜査対象になったりするリスクがあります。
また、流出した個人情報はダークウェブで売買され、別の犯罪に利用される可能性があり、被害は長期化する傾向にあります。偽造パスポートの作成、携帯電話の不正契約、借入など、二次的な犯罪に巻き込まれる危険性も否定できません。
メルカリが講じている高度な対策
株式会社メルカリは、この脅威に対して極めて積極的な対策を講じています。同社のセキュリティチームは、フィッシングサイトを早期に発見し無力化するために、自動化されたスキャンシステムを構築しています。
Google Cloud Runを活用し、不審なドメインのリストを投入すると、ブラウザエンジンをヘッドレスモードで起動し、自動的にスクリーンショットを撮影・解析するシステムを運用しています。これにより、ドメインとIPアドレスの相関関係を分析し、手動レビューの負荷を下げつつ、大量のフィッシングサイトを効率的に検知・通報する体制を整えています。これは、守りのセキュリティから、能動的に脅威を狩りに行くスレット・ハンティングへの転換を示しています。
フィッシングに対する決定的な対策として、メルカリが強力に推進しているのがパスキー認証です。パスキーは、従来のパスワード認証に代わり、端末に内蔵された生体認証や暗証番号を用いてログインを行う仕組みです。
パスキーの認証プロセスでは公開鍵暗号方式が用いられ、認証情報はサーバーに送信されません。さらに重要な点として、パスキーは正しいドメインに対してのみ機能するように設計されています。仮に利用者がフィッシングサイトにアクセスしてしまっても、ブラウザやOSがドメインの不一致を検知し、パスキーによる認証を拒否します。つまり、利用者が誤って操作しようとしても、システム側で物理的にログインを阻止できるのです。
メルカリは利用者への連絡に使用するメールドメインを「@mercari.jp」に限定しています。また、送信ドメイン認証技術を導入しており、正規のメルカリサーバー以外から送信されたなりすましメールが、受信側のプロバイダで迷惑メールとして判定されやすくする設定を行っています。
利用者が実践すべき確実な防御策
技術的な対策が進んでも、最終的な防衛ラインは利用者自身にあります。メールやSMS内のリンクは、いかなる場合もクリックしないというルールを徹底することが最も重要です。
アカウント利用制限などの重要な通知がメールで届いた場合、そのリンクを踏むのではなく、必ずスマートフォンのメルカリアプリを直接開くか、ブラウザのブックマークから公式サイトにアクセスして確認してください。もし本当に制限がかかっていれば、アプリ内のお知らせややることリストに必ず同様の通知が表示されているはずです。アプリに表示がなければ、そのメールは100パーセント詐欺です。
可能な限りパスキーによる生体認証ログインを設定してください。パスキーが利用できない環境では、推測困難な長く複雑なパスワードを設定し、パスワードマネージャーを使用して管理します。絶対に他のサービスと同じパスワードを使い回してはいけません。これはクレデンシャルスタフィング攻撃の防止に不可欠です。
SMS認証などの二段階認証を必須としてください。ただし、前述の通りこれも突破されるリスクがあるため、通知された認証コードを不審なサイトに入力しないよう細心の注意を払う必要があります。
不審なメールが届いた場合、SNSで件名や本文の一部を検索してみてください。大規模なキャンペーンであれば、同時期に同様のメールを受け取った他の利用者の報告が見つかる可能性が高くなります。また、メルカリ公式サイトやフィッシング対策協議会の緊急情報を定期的に確認し、最新の手口を知っておくことが最大の防御になります。
被害に遭ってしまった場合の緊急対応
万が一、フィッシングサイトに情報を入力してしまった場合、被害を最小限に食い止めるための迅速な初動対応が不可欠です。
まだログインが可能であれば、直ちにパスワードを変更してください。同時に、メルカリの設定画面からログイン履歴を確認し、不審なセッション、つまり身に覚えのない端末や地域からのアクセスをすべて強制ログアウトさせます。
クレジットカード情報を入力した場合は、即座にカード会社へ連絡し、カードの利用停止と再発行を依頼してください。銀行口座情報を入力した場合も同様に金融機関へ連絡します。
アプリ内のお問い合わせまたは公式サイトの専用フォームから、アカウント乗っ取り被害をメルカリ事務局へ報告してください。メールアドレスが変更されてログインできない場合でも、アカウント復旧のための専用窓口が用意されている場合があります。
受信したフィッシングメール、SMS、偽サイトのURL、不正利用された決済履歴の画面キャプチャなどをすべて証拠として保存してください。これらは後の補償申請や警察への相談において重要な証拠となります。
金銭的な被害が発生した場合、最寄りの警察署のサイバー犯罪相談窓口へ相談し、被害届を提出してください。メルカリの補償制度を利用する際、警察への被害届受理番号の提出が求められることが一般的です。
メルカリでは、不正利用による被害について、所定の条件を満たす場合に補償を行う制度があります。原則として、利用者に重大な過失がない限り、調査の上で補償が検討されます。ただし、申請には期限が設けられている場合があるため、被害発覚後は速やかに行動する必要があります。
今後の脅威の進化と求められる対応
メルカリを標的としたフィッシング詐欺は、単なるいたずらや小規模な犯罪ではなく、組織化された犯罪集団による高度なサイバー攻撃へと進化しています。2025年に向けて、攻撃者はAIによる文面生成の精度をさらに高め、パスキー普及の過渡期を狙った新たなソーシャルエンジニアリング手法を編み出してくることが予測されます。
たとえば、パスキー設定に失敗しましたといった偽通知を送りつけ、利用者を偽のサポートサイトへ誘導する手口などが考えられます。技術が進化すればするほど、それを悪用する手口も高度化していくのが現実です。
この非対称な戦いにおいて、利用者が身を守るための唯一にして最大の武器は正しい知識と健全な疑いです。自分だけは騙されないという過信を捨て、デジタルサービスを利用する上での基本動作を徹底することが、安全なデジタルライフを送るための必須条件となります。
リンクを確認する、アプリから直接アクセスする、生体認証を利用する、こうした当たり前の行動が命を守る盾となります。同時に、プラットフォーム事業者であるメルカリにも、セキュリティ技術の更なる高度化、特にAIを活用したリアルタイムの不正検知や、フィッシングサイトの発生を予知・即応する能動的な防衛策の継続的な強化が期待されます。
官民、そして利用者が一体となった多層防御の構築こそが、この脅威に対抗しうる唯一の道筋です。便利なサービスを安全に使い続けるために、一人ひとりがセキュリティ意識を高め、具体的な行動を取ることが求められています。
コメント