【要ログイン】メルカリアカウント継続のお願い（期限：4月1日）— メルカリを騙るフィッシングメール解析レポート

注意: 本記事は自動解析で収集できた証拠が限定的です。追加の技術検証が推奨されます。

2026年4月1日、メルカリの公式を装ったフィッシングメールが確認されました。件名・本文ともに公式メールに見せかける工夫が施されており、誘導先URLについても正規ドメインが本文に記載されています。本記事では、メール認証・送信インフラ・リダイレクト構造の複合根拠に基づく判断プロセスを解説します。

1. メール概要

件名	【要ログイン】メルカリアカウント継続のお願い（期限：4月1日）
差出人表示名	メルカリ運営事務局
差出人アドレス（From）	noreply[@]mail24[.]nordaurora[.]com
Return-Path	noreply-info=ccsi[.]jp[@]mail24[.]nordaurora[.]com
受信日時	2026年4月1日（水）18:51:00 JST
推定ブランド	メルカリ（なりすまし：確認済み）
カテゴリ	EC（決済情報詐取型）
EMLファイルSHA256	`3499a59658fb0a302e6195835401dbd82f5b7bec42e7e5e8a0f1be328896185d`

2. メール本文（全文）

【要確認】カード情報の更新をお願いします

メルカリをご利用のお客様へ。現在、お支払いエラーにより購入機能が中断されています。

■ 現状：カードの承認が得られず、決済ができない状態です。
■ 解決策：マイページよりカード情報をアップデートしてください。

▼ ログインして更新する
hxxps://www[.]mercari[.]com/jp/settings/payment/

手続き完了後、すぐにお買い物をお楽しみいただけます。

※このメールは配信専用です。返信は受け付けておりません。
━━━━━━━━━━━━━━━━━━━━
メルカリヘルプデスク

本文の手口解説

本文には「決済エラー」「カード情報の更新」という緊急性を煽るフレーズが使われています。記載されているリンクテキストは hxxps://www[.]mercari[.]com/jp/settings/payment/ と正規ドメインに見えますが、メールクライアント上では表示テキストと実際のリンク先URLが異なる場合があります（後述のURL解析を参照）。「期限：4月1日」という件名の締め切り設定も、受信者に冷静な判断を妨げる心理的圧力として機能します。

3. メール認証解析

認証結果サマリー

認証方式	結果	解説
SPF	pass	送信IPがmail24[.]nordaurora[.]comのSPFレコードに含まれていた
DKIM	pass	メール署名の検証が成功した
DMARC	検証結果が付与されていない	受信サーバーによるDMARC評価結果が確認できない状態

SPF pass の意味するもの

観測事実： SPFはpass（通過）となっています。これは、送信元IPアドレス（35[.]221[.]118[.]119）が mail24[.]nordaurora[.]com のSPFレコードに登録されていたことを示します。

示唆： SPF passは「メルカリの公式サーバーから送信された」ことを証明しません。SPFはあくまでも 差出人ドメインのDNSに登録されたIPから送信された ことを確認するのみです。攻撃者が自分で取得したドメイン（nordaurora[.]com）でSPFを正しく設定すれば、非正規ドメインからの送信でもSPF passになります。

技術補足： SPFは smtp[.]mailfrom（エンベロープFromとも呼ばれる）のドメインに対して評価されます。本メールのsmtp[.]mailfromは noreply-info=ccsi[.]jp[@]mail24[.]nordaurora[.]com であり、メルカリの公式ドメイン（一般にmercari[.]comとして知られている）ではありません。

DKIM pass と From ドメインの不一致

観測事実： DKIMもpassとなっています。DKIM署名の検証が成功したことを示します。

示唆： DKIM passも同様に、「メルカリが署名した」ことを意味しません。DKIMはドメインと署名の対応を検証しますが、その署名ドメインが nordaurora[.]com であれば、攻撃者が正規に署名を付与することが可能です。重要なのは「どのドメインが署名したか」です。

From ドメインとReturn-Pathの乖離

観測事実： メール表示上の差出人は「メルカリ運営事務局」ですが、実際のFromアドレスは noreply[@]mail24[.]nordaurora[.]com です。Return-Pathは noreply-info=ccsi[.]jp[@]mail24[.]nordaurora[.]com となっており、VERP（Variable Envelope Return Path）形式が使われています。

示唆： 表示名（Display Name）は送信者が任意に設定できるため、「メルカリ運営事務局」という表示名自体はフィッシング判定の直接根拠にはなりません。ただし、Fromドメインが公式ドメイン（mercari[.]com）と異なることは、なりすましの補助指標となります。Return-PathにVERP形式が使われること自体は正規の一括配信でも見られる手法ですが、本件では非公式ドメインからの送信であるため文脈上の根拠として扱います。

4. 送信元インフラ解析

送信元IPアドレス

送信元IP	35[.]221[.]118[.]119
送信元ドメイン	mail24[.]nordaurora[.]com

35[.]221[.]118[.]119 はGoogle Cloud Platform（GCP）のIPアドレス帯に属しており（一般的な公開情報として確認可能）、クラウドインフラを悪用した送信である可能性を示唆します。クラウドサービスは誰でも低コストで利用できるため、フィッシング送信インフラとして悪用される事例が増加しています。

送信ドメイン nordaurora[.]com

このドメインはメルカリの公式ドメイン（一般にmercari[.]comとして知られている）とは無関係のドメインです（確認済み）。フィッシングメールの送信元として機能しており、このドメインから届くメールを「メルカリからの正規連絡」と誤認しないよう注意が必要です。

5. URL・リダイレクト解析

本文記載URL①（正規ドメイン記載）

URL	hxxps://www[.]mercari[.]com/jp/settings/payment/
状態	停止/エラー（解析時点）
PhishTank	未登録（本記事公開時点）

本文テキストとして記載されているURLはmercari[.]comの正規パスに見えます。しかし、HTMLメールではリンクテキストと実際のhref属性の値が異なる場合があります。テキスト表示が正規ドメインであっても、クリック先が異なる可能性を常に疑う必要があります。解析時点ではアクセス不能状態でした。

本文記載URL②（リダイレクタ）

URL	hxxps://rrtougao[.]com/gaSFnSaSG9
リダイレクト	2ホップ → hxxps://www[.]e[.]com
状態	停止/エラー（解析時点）
PhishTank	未登録（本記事公開時点）

観測事実： rrtougao[.]com という非公式ドメインへのリンクが存在し、2段階のリダイレクトを経て別のドメインへ誘導する構造が確認されています。

示唆： 複数ホップのリダイレクトは、URLスキャナーや自動検知システムを回避し、最終誘導先を隠蔽するフィッシングインフラで一般的に使われる手法です。最終到達先が解析時点で停止していても、以前は稼働していた、あるいは時間差で再稼働する可能性があります。

rrtougao[.]com はメルカリの公式ドメインとは無関係（確認済み）であり、このドメインへのアクセスは推奨しません。

6. フィッシング確定の根拠（複合判断）

本メールをフィッシングと確定した根拠は以下の複数証拠の組み合わせです。単一の指標のみによる判断ではありません。

Fromドメインがメルカリ公式ドメインと不一致（確認済み）： mail24[.]nordaurora[.]com はmercari[.]comとは無関係のドメインです。表示名を「メルカリ運営事務局」と偽っていても、送信元ドメインは偽装できません。
Return-Pathが非公式ドメイン（確認済み）： エンベロープFromも mail24[.]nordaurora[.]com であり、正規送信インフラを経由していません。
非公式ドメインからのリダイレクト構造（確認済み）： rrtougao[.]com という無関係のドメインを経由する2ホップリダイレクトが検出されており、誘導先の隠蔽を目的とした構造が確認されています。
クラウドIPからの送信（補助指標）： GCP帯のIPを利用したメール送信は、専用メール送信サービスではなくクラウドを悪用した送信インフラである可能性を示唆します。
心理的誘導の手法（補助指標）： 「決済エラー」「カード情報の更新」「期限：4月1日」という組み合わせは、緊急性を煽って冷静な判断を妨げる古典的なフィッシング手法です。

以上の複合根拠から、本メールはメルカリを騙るフィッシングメール（確定）と判断しました。

7. 対処方法

このメールを受け取った場合

リンクをクリックしない： 本文に記載されているURLがmercari[.]comのように見えても、HTMLメール内のリンクは実際の遷移先と異なる場合があります。絶対にクリックしないでください。
カード情報・ログイン情報を入力しない： 万が一リンクを開いてしまった場合でも、いかなる情報も入力しないでください。
公式アプリ・ブックマークからアクセスする： メルカリのアカウント状態を確認したい場合は、メール内リンクではなく、公式アプリまたはブラウザのブックマークから直接アクセスしてください。
メールを削除する： 内容を確認し終えたら、このメールは削除してください。

すでにリンクを開いた・情報を入力してしまった場合

直ちにメルカリアカウントのパスワードを変更してください。 公式アプリまたはブラウザから、正規URLに直接アクセスして変更してください。
登録しているクレジットカードの利用停止を検討してください。 カード情報を入力した場合は、発行カード会社に連絡して利用停止と再発行を依頼してください。
身に覚えのない取引・出品がないか確認してください。 メルカリの取引履歴・支払い履歴を確認し、不審な活動があれば公式サポートに報告してください。

フィッシング被害の報告先

メルカリ公式：公式アプリ内の「お問い合わせ」から不審メールの報告が可能です。
フィッシング対策協議会（Japan APWG）：フィッシングメールの情報提供を受け付けています。
消費者庁・警察庁：被害が発生した場合は最寄りの警察署またはサイバー犯罪相談窓口に相談してください。

8. IOC一覧

メールヘッダ関連

種別	値
EML SHA256	`3499a59658fb0a302e6195835401dbd82f5b7bec42e7e5e8a0f1be328896185d`
From	noreply[@]mail24[.]nordaurora[.]com
Return-Path	noreply-info=ccsi[.]jp[@]mail24[.]nordaurora[.]com
送信元IP	35[.]221[.]118[.]119
送信ドメイン	mail24[.]nordaurora[.]com

URL・ドメイン関連

種別	値	備考
フィッシングURL①	hxxps://www[.]mercari[.]com/jp/settings/payment/	正規ドメイン記載・解析時点で停止
フィッシングURL②	hxxps://rrtougao[.]com/gaSFnSaSG9	リダイレクタ・2ホップ・解析時点で停止
リダイレクト先	hxxps://www[.]e[.]com	最終誘導先（確認済み）
不審ドメイン	rrtougao[.]com	フィッシングリダイレクタドメイン

PhishTank登録状況

URL	PhishTank状態
hxxps://rrtougao[.]com/gaSFnSaSG9	本記事公開時点でPhishTankには未登録です。当社にて登録申請を行います。
hxxps://www[.]mercari[.]com/jp/settings/payment/	本記事公開時点でPhishTankには未登録です。当社にて登録申請を行います。