メルカリは、同社を装ったフィッシングメールやSMS、SNS広告から偽サイトに誘導する手口が確認されているとして、公式サイトで注意喚起と具体的な対策を公開しています。偽サイトはログイン情報や個人情報、支払い情報を窃取する目的で作られており、本物と見分けがつかないほど巧妙な例が増えています。リンクを開かず、公式アプリやブックマークした正規サイトからアクセスすることが基本です。企業のDX推進や情報システム部門にとっても、従業員教育と技術対策を組み合わせた多層防御が重要になります。本記事では、メルカリが提示する注意点を整理し、個人と企業それぞれが今すぐ取るべき実務的アクションを解説します。
巧妙化する手口の全体像 正規風の文面とUI模倣で信用を奪う
メルカリが確認している事例では、メールやSMSから偽のログインページへ誘導し、パスワードや支払い情報の入力を狙うケースが中心です。ロゴや過去のキャンペーン名を引用して正規の連絡に見せかけ、メッセージ内のボタンやリンクを押すとフィッシングサイトへ移動させる仕組みが用いられています。SNS広告経由の誘導もあり、相場から大きく乖離した安価表示で興味を引くパターンが典型です。偽サイトはメルカリのユーザーインターフェースを模倣しており、見た目だけで真偽を判別するのは困難です。こうした状況では、メッセージに含まれるリンクを避け、公式アプリやブックマークから直接アクセスする行動習慣が最も有効な防御策になります。企業側は、この行動指針を従業員の標準オペレーションに落とし込み、私用端末利用時も徹底できるよう研修と周知を行うことが重要です。
メルカリが推奨する基本対策 パスキー 多要素認証 正規経路ログインを徹底
メルカリはパスキーの登録を推奨しており、Face IDや指紋認証、端末のPINで安全にアカウントへアクセスできます。パスワード利用時はサービスごとに強力で異なる文字列を設定し、パスワードマネージャーの活用が勧められています。多要素認証の有効化も重要で、万が一認証情報が窃取されても被害の連鎖を抑止できます。送信者を装うメールやSMSで、短時間の対応を強要しリンクのクリックや添付開封を促す文面は典型的な手口です。このような連絡はリンクを開かず、必ずアプリやブラウザで正規のログイン手順を踏んで内容を確認します。送信元アドレスの不審なドメインやスペルミスの確認も、初期判別に有効です。企業はこれらのベストプラクティスを社内ガイドラインに反映し、フィッシング訓練とセットで定着を図ると効果的です。
被害最小化の行動手順 入力してしまった後の対応と報告フロー
不審なサイトにパスワードや機密情報を入力した場合は、メルカリのヘルプセンターで案内されている手順に従い、ただちに対処することが重要です。入力後に気付いた場合でも、早期対応が被害拡大を防ぎます。併せて、フィッシングメールやSMSを受け取った、または偽サイトに誘導された場合は、メルカリ指定の報告先に転送することで、Trust and Safetyチームによる調査と対策に寄与できます。メールはそのまま転送し、テキストメッセージは内容をコピー、偽サイトはURLを送ることが求められています。報告メールの件名や追加情報の記載は不要で、簡便な手順で通報可能です。カスタマーサービスからの返答が必要な場合は、公式アプリまたは公式サイトの問い合わせ窓口を利用します。企業は、従業員が私用の取引でも同様の報告手順を理解しているか、オンボーディング時に確認することが望まれます。
情報収集と内製ルールの更新 ニュース確認を業務プロセスに組み込む
メルカリは、報告を受けたフィッシング事例や不正行為に関する最新情報をニュースで告知しています。アプリのホーム画面のお知らせからニュース、ウェブサイトのマイページからニュース一覧で確認できます。新たな手口の出現は速く、攻撃は短期間で変化します。定期的なニュース確認を個人の習慣にし、企業では月次のセキュリティミーティングや全社掲示に組み込むと、認知の鮮度を保てます。社内のフィッシング対策ルールは、ニュースで示された注意点にあわせて更新し、ポリシーと実態のズレを最小化しましょう。また、正規連絡の確認は常に公式アプリやブックマーク経由で行うことを、業務フローのチェックリストに明記すると実行率が高まります。
詳しくは「メルカリ」の公式ページまで
