偽のフィッシングサイトで個人情報を搾取

メルカリによると、メルカリのロゴなどを悪用し、メルカリとそっくりな偽サイト（フィッシングサイト）や不正サイトに誘導し、個人情報を入力させようとする不審なメールやSMSを確認している。実際に、不審なサイトに情報を入力してしまった一部のユーザーのアカウントへ不正にログインし、メルペイ加盟店で利用するという取引も確認した。そのため、拡大防止を最優先とする観点から、一部加盟店でのメルペイ決済を一時的に停止した。再開時期は未定。

不審なメールの送信元は、同社から正規に連絡する際の送信元である「@mercari.jp」のドメインではないが、今後、送信元メールアドレス（Fromヘッダ）を「@mercari.jp」に偽装したメールが送信された場合、ユーザーが利用しているメールサーバの環境によっては、正常に受信できてしまう可能性があるという。メールの内容やリンク先などに不審な点がないか、十分な注意を促している。

メルカリは2段階認証が必要、個人情報の入力はアプリのみ

同社によると、メルカリアプリ以外（ブラウザーなど）で、「電話番号」「パスワード」「二段階認証認証番号」「パスコード（メルペイ利用時に入力する4桁の数字）」「クレジットカード情報」などの顧客情報を入力させようとすることは一切ない。

また、メルカリ・メルペイは第三者によるログインを防止するため、登録された電話番号のSMSへ送付される「認証番号」を利用した、2段階認証が必要なシステムを採用している。そうしたメールやSMSが届いても、リンクを開かずに削除するよう呼びかけている。

なお、すでに不審なサイトに電話番号やパスワードなどを入力した場合は、ログイン中の端末を強制的にログアウトすることを求めている。すでに第三者にアカウントを利用され、ユーザー自身でアカウントへのログインなどができない場合には、アプリ内の「お問い合わせ」から、被害についてできるだけ詳細に記載し、報告を求めている。