ニュース

メルカリを装い偽サイトに誘導、「メルカリ本人確認のお知らせ」メールに注意

 メルカリをかたり、フィッシングサイトへ誘導するメールの報告があったとして、フィッシング対策協議会が情報を公開した。同サイトは6月9日15時時点で稼働中のため、引き続き注意が必要だ

 フィッシングメールの件名は「【重要】メルカリ本人確認のお知らせ」。本文は以下のような文面になっており、本人確認のためとしてリンク先のウェブサイトへのアクセスを促す内容になっている。

メルカリでは不正行為の発生を防止するため、セキュリティー機能を更新しました。
本人確認の強化を行なっております。
「24時間以内」に下記リンクより認証を完了させてください。

(フィッシング対策協議会の緊急情報より一部抜粋)

メルカリをかたるフィッシングメール
メール文面の例(フィッシング対策協議会の緊急情報より)

 誘導先はメルカリの会員向けページを装ったウェブサイトで、電話番号とパスワードを入力するとSMS認証番号やパスコードを入力する画面に遷移する。

メルカリをかたるフィッシングサイト
誘導先の偽サイトの画面(フィッシング対策協議会の緊急情報より)

 誘導先のフィッシングサイトのURLは、以下のものが確認されている。このほかにも類似するドメイン名が使われる可能性がある。

http://merucari●●●●.club/
https://meruccri-●●●●.xyz/
https://meruccri-●●●●.tokyo/
https://merrcari-●●●●.com/

 同協議会は、「フィッシングサイトは本物のサイトの画面をコピーして作成されることが多く、見分けることは非常に困難」と指摘。そのうえで、類似のフィッシングサイトが公開される可能性もあることから、サービスへログインする際はメールやSMSのリンクを利用するのでなく、公式アプリやウェブブラウザーのブックマークからアクセスするよう、注意を促している。

 また、メルカリも注意喚起を実施。「メルカリでは、メール・SMS経由でメルカリアプリ以外から、お客さま情報(電話番号、パスワード、パスコード等)の入力を促すことは一切ございません」と、警戒を呼び掛けている。