フィッシング対策協議会(Council of Anti-Phishing Japan)は10月6日、「フィッシング対策協議会 Council of Anti-Phishing Japan | ニュース | 緊急情報 | メルカリをかたるフィッシング (2021/10/06)」において、メルカリを偽装したフィッシングの報告を受けていると伝えた。
メールの件名としては、次の文字列が確認されており注意が必要(以下以外の件名が使われている可能性もある)。
- 【メルカリ】パスワードの再設定
- 【メルカリ】ログイン通知
- 【メルカリ】重要なお知らせのため
- 【メルカリ】更新に失敗しました,登録済み電話番号の確認をお願いします
- 【メルカリ】一時的な利用停止、ログインして確認してください
- 【メルカリ】個人情報確認
- 【重要】メルカリ本人確認のお知らせ
- 【重要】事務局からのお知らせ
- 【重要】事務局からのお知らせ【メルカリ】
- ご利用状況の確認について【メルカリ】
- 現在メルカリおよびメルペイのご利用を制限しております。
- メルカリ事務局からのお知らせ クーポンコード●●●●
- メルペイスマート払いのご清算が可能になりました
確認されている偽サイトとしては、次のURLが挙げられている(下記以外のURLが使われている可能性もある)。
- https://a●●●●.cn/
- https://info.●●●●.cn/powan
- https://server.●●●●.cn/powan
- https://www.mercari-●●●●.com/
報告されている詳細内容は次のとおり。
- メルカリからのメールであるかのように見せかけ、本人確認、ポイントの取得、メールの配信停止、連絡先、アプリの起動などのURLと偽ってユーザに偽のページを誘導しようとする。
- 2021年10月6日の時点でフィッシングサイトは稼働している。
-
フィッシング対策協議会 Council of Anti-Phishing Japan | ニュース | 緊急情報 | メルカリをかたるフィッシング (2021/10/06)
メールに掲載されているURLからは真偽の判断が難しいケースもあると見られることから注意が必要。また、フィッシング詐欺に使われているWebサイトも、一見しただけで判別することが難しい。真偽の確認を行うには、メールやメッセージに含まれているリンクからたどるのではなく、公式アプリやWebブラウザに登録したブックマークなどからアクセスするなどの操作を行い、確認を行うことが望まれる。
日本の組織ではパッチ適用まで一カ月以上とワースト、トレンドマイクロが世界比較レポート
