Received: from blAK.com ([74.112.119.71])
From: "メルカリ事務局" <0123@mercari-alerts.jp>
Subject: 【重要】お客様のメルカリアカウントに異常なログインが検出されました
【重要なお知らせ】
お客様のアカウントに異常なログインが検出されました
平素よりメルカリをご利用いただきありがとうございます。
最近、お客様のアカウントに対して通常とは異なる地域?端末からのアクセスが確認されました。
セキュリティ保護の観点から、お客様のアカウント機能を一部制限させていただいております。
ご本人による利用であることを確認するため、以下のページよりご対応をお願いいたします。
アカウント情報を確認する (https://1234.b492l9k.sbs/2345)
※この手続きを24時間以内に行っていただけない場合、アカウントが一時停止となる可能性があります。
何卒ご理解とご協力のほど、よろしくお願い申し上げます。
※本メールは送信専用です。ご返信いただいても対応いたしかねますのでご了承ください。
メルカリ事務局
- フィッシングサイト: *.b492l9k.sbs
- フィッシングサイト: 8vrzlaz.sbs
- 送信元: Hancock Internet
ここ数日の定番リスト:
- お名前.com (GMO)、Alibaba で登録されたドメイン名を使用
- Cloudflare による実 IP アドレス隠蔽
- メイル記載 URL から HTTP ステータスコード 301 によるリダイレクト
- メイルには数字サブドメインを記載 (FQDN 単位ブロック回避を意図? 宛先追跡の可能性も)
- Envelope-From は3~5文字 .com ドメイン名
- Date ヘッダーのタイムゾーンが +0800 (中国。日本は +0900)
- クレジットカード情報の入力を求める
2通目。
Received: from Mwcd.com (cd.07.ce6d.cidr.airmail.net. [206.109.7.205])
From: "メルカリ事務局" <0123@mercari-alerts.jp>
Subject: 【重要】お客様のメルカリアカウントに異常なログインが検出されました
【重要なお知らせ】
お客様のアカウントに異常なログインが検出されました
平素よりメルカリをご利用いただきありがとうございます。
最近、お客様のアカウントに対して通常とは異なる地域?端末からのアクセスが確認されました。
セキュリティ保護の観点から、お客様のアカウント機能を一部制限させていただいております。
ご本人による利用であることを確認するため、以下のページよりご対応をお願いいたします。
アカウント情報を確認する (https://1234.8k7eg51.sbs/2345)
※この手続きを24時間以内に行っていただけない場合、アカウントが一時停止となる可能性があります。
何卒ご理解とご協力のほど、よろしくお願い申し上げます。
※本メールは送信専用です。ご返信いただいても対応いたしかねますのでご了承ください。
メルカリ事務局
- フィッシングサイト: *.8k7eg51.sbs
- フィッシングサイト: 8vrzlaz.sbs
- 送信元: JAB Wireless
- 送信元: Rise Broadband
ささやかな妨害工作
2通とも From は mercari-alerts.jp。これは未登録ドメイン名で、いずれ登録して騙しやすくする意図があったのかな?
ちょうど「お名前.com」 (GMO) で無料で登録できたので登録しておいた。
SPF レコードは “v=spf1 -all” に設定したため、@mercari-alerts.jp が From のメイルは必ず SPF Fail になる。
仮ウェブサイトも作った。「mercari-alerts.jp からのメイルはすべて詐欺です」
メルカリから要求があれば、mercari-alerts.jp は無料で引き渡しに応じるつもり。
連絡先: musashi@araki.jp (本メイルアドレスへの「特定電子メール」の送信は禁止)
私にはわざわざ金をかけて更新する意思はないので、連絡がなければ2026年6月末で放棄されることになる。