support@mercari.co.jp や「メルカリ運営事務局」名義のメールが届くと、「本物なら無視できない」「でも押したら危険かもしれない」と不安になりますよね。特に、本人確認や支払い方法の更新、カード有効期限切れなどを知らせる内容だと、急いで対応しなければならないように感じてしまうものです。
しかし、こうしたメールの中には、メルカリを装ってログイン情報やカード情報を入力させようとする迷惑メールやフィッシングメールが紛れている可能性があります。見た目が本物らしくても、差出人名や文面だけで安全とは判断できません。
この記事では、support@mercari.co.jp のメールが本物かどうかを見分けるポイントをはじめ、メールを開く前に確認したいこと、リンクを押してしまった場合の対処法、今後同じ手口に引っかからないための予防策まで、わかりやすく整理して解説します。
「このメール、どうすればいいのか」をすぐ判断したい方は、ぜひ最後までご覧ください。
※本コンテンツは「記事制作ポリシー」に基づき、正確かつ信頼性の高い情報提供を心がけております。万が一、内容に誤りや誤解を招く表現がございましたら、お手数ですが「お問い合わせ」よりご一報ください。速やかに確認・修正いたします。
support@mercari.co.jpのメルカリメールが気になるときの結論
support@mercari.co.jp や「メルカリ運営事務局」名義のメールは、見た目だけで本物と判断せず、いったん不審メールの可能性を前提に扱うのが安全です。メルカリ公式は主な送信元として @mercari.jp と @email.mercari.jp を案内していますが、同時に差出人表示が偽装される可能性にも注意喚起しています。つまり、差出人名や見かけのメールアドレスだけで「本物」「偽物」を断定するのではなく、メール内リンクを使わずにメルカリアプリや公式ヘルプから確認する、という行動自体が最重要です。
この結論を一言でまとめると、「判定より先に、メール内リンクを踏まないこと」です。
本物らしく見えるメールでも、フィッシングサイトは本物の画面をコピーして作られることがあり、見た目だけで見分けるのは難しいとフィッシング対策協議会も注意しています。日常的なログインや確認は、メールやSMSのリンクではなく、公式アプリや自分で開く公式サイトから行うのが基本です。
まず知っておきたい公式ドメイン
メルカリ公式ヘルプでは、サービス利用時の主な送信元として @mercari.jp と @email.mercari.jp が案内されています。そのため、support@mercari.co.jp という表記に違和感を覚えたなら、その直感は大切にすべきです。ただし、ここで「公式ドメインっぽいかどうかだけ」で判定を終わらせないことも重要です。公式自身が、正規に見える送信元でも偽装される可能性に触れているため、ドメイン確認はあくまで参考情報であり、最終的な安全確認はアプリや公式ヘルプ上で行う必要があります。
たとえば、読者の中には「.co.jp だから企業の正規メールでは」と感じる方もいるかもしれません。しかし、メールの表示名や見かけの送信元がそれらしく見えることと、本当にメルカリが送っていることは同義ではありません。送信元表示、本文の文面、リンク先、入力要求の組み合わせで総合的に判断する必要があります。
差出人名だけでは安全確認にならない理由
迷惑メールでは、差出人名に「メルカリ運営事務局」「メルカリ事務局」などの表示を使い、公式からの連絡だと思わせるのが典型手口です。ロゴ、敬語、整ったレイアウトが使われることも多く、以前よりも日本語が自然なケースも増えています。見た目に違和感が少ないほど、焦って押してしまいやすくなります。フィッシング対策協議会も、フィッシングサイトは本物の画面をコピーして作られることが多く、見分けるのは難しいとしています。
また、最近確認されているメルカリを装う不審メールでは、「本人確認が必要です」「アカウント停止の可能性があります」「お支払い方法の更新が必要です」「カード有効期限切れ」など、利用停止や不利益を連想させる件名がよく使われます。こうした件名は、ユーザーに「本当に問題が起きているかもしれない」と思わせるためのものです。実際、メルカリ公式も、ポイント付与、本人確認、利用制限、異常活動、口座凍結などを装う手口が確認されていると案内しています。
今すぐ削除せず確認したいポイント
不審なメールを受け取った直後は、削除する前に最小限の確認だけしておくと安心です。確認するポイントは多くありません。重要なのは、「メールの中で確認しない」ことです。
| 確認項目 | 見るべきポイント | 判断の考え方 |
|---|---|---|
| 差出人表示 | メルカリ運営事務局、support表記など | 表示名だけでは安全と判断しない |
| 送信元ドメイン | @mercari.jp、@email.mercari.jp か、それ以外か |
公式案内外なら特に慎重に扱う |
| 件名 | 本人確認、停止、更新、期限切れなど | 焦らせる文面は典型的な手口 |
| リンク先 | タップ前のURL表示や遷移先 | 見慣れないURLなら開かない |
| 公式側の通知 | アプリのお知らせ、利用状況 | 本当に必要な対応は公式側でも確認できるかを見る |
この確認で重要なのは、メール本文の「確認はこちら」「今すぐ更新」などのボタンを使わないことです。メルカリ公式は、記載されたURLにアクセスせず、公式アプリやブックマーク、検索経由で公式サイトを確認するよう案内しています。
メルカリ運営事務局の迷惑メールを見分けるポイント
不審メールを見分けるときは、一つの要素だけで判断しないことが大切です。差出人だけ、件名だけ、文章の自然さだけでは見抜けないことがあります。実際には、「何を急がせているか」「どこへ誘導しているか」「何を入力させようとしているか」をまとめて見ると、かなり判別しやすくなります。
よくある件名と文面の特徴
メルカリを装うフィッシングでは、本人確認、アカウント停止、利用制限、セキュリティ更新、支払い方法更新などの表現が繰り返し使われています。フィッシング対策協議会が2024年1月に公開した注意喚起では、「メルカリの事務局からのお知らせ」「メルカリの本人確認通知」「アカウントの停止」などの件名例が挙げられています。メルカリ公式も、ポイントや本人確認、口座凍結などを装う不審メールを案内しています。
件名が変わっても、手口の本質は共通しています。つまり、「このままだと不利益が出る」と思わせて、すぐにリンクを押させることです。件名がもっともらしいほど、利用者は本物かもしれないと感じますが、その心理こそが狙われています。
本物の可能性がある連絡と迷惑メール疑いの違い
次の比較表は、読者がもっとも迷いやすいポイントを整理したものです。
| 項目 | 本物の可能性がある連絡 | 迷惑メール疑いが強い連絡 |
|---|---|---|
| 確認方法 | アプリや公式ヘルプから確認できる | メール内リンクでしか確認できないように見せる |
| 文章の目的 | 状況説明や案内が中心 | 焦らせて即操作させる |
| 入力要求 | 公式導線上で段階的に進む | いきなりログイン情報やカード情報を求める |
| 緊急性の出し方 | 必要な説明がある | 「至急」「今すぐ」などで強く不安を煽る |
| 読者の感情 | 落ち着いて確認できる | 焦りや恐怖を先に作る |
この表で最も大切なのは、「確認方法」です。メールで何が書かれていても、最終確認はアプリや公式ヘルプから行う、というルールを決めておけば、多くのフィッシングを避けられます。メルカリ公式も同じ方針を案内しています。
公式アプリとヘルプで確認する方法
不審なメールの真偽を確認する際の正しい流れは、メールを閉じてから、自分でメルカリアプリまたは公式ヘルプを開くことです。メルカリは、不審メール・SMSのURLにはアクセスせず、公式アプリや公式サイトを確認するよう呼びかけています。不安な点がある場合は、ヘルプ下部の問い合わせ導線から事務局へ連絡することもできます。
確認手順は次の通りです。
- メールのリンクは押さず、いったん閉じる
- メルカリアプリを自分で開く
- お知らせ、利用制限、本人確認、支払い状況を確認する
- アプリ側で異常がなければ、そのメールは信用しない
- なお不安が残る場合は、公式ヘルプの問い合わせ導線から相談する
この順番にしておくと、「メールを読んでいるうちに押してしまった」という事故を減らせます。特に、利用停止や本人確認という文言は不安を強く刺激するため、読む前提より閉じる前提で行動すると安全です。
メルカリの不審メールを受け取ったときの対処
ここからは、現在の状況別に何をすべきかを整理します。まだ何もしていない人と、すでにリンクを開いた人、入力した人では優先順位が異なります。自分の状態に合った箇所から読んでください。
リンクを押していない場合
まだリンクを押していないなら、被害の可能性は低く抑えられています。この段階では、余計な操作をしないことが最重要です。メルカリ公式も、不審なメールやSMSのURLにはアクセスせず、個人情報を入力しないこと、件名や送信元に不審な点がある場合は削除することを案内しています。
この段階でやることは次の通りです。
- メール内リンクを押さない
- 添付ファイルがあっても開かない
- メルカリアプリを自分で開いて、お知らせや利用状況を確認する
- アプリ側に異常がなければ削除する
- 不安が残る場合のみ、公式ヘルプから問い合わせる
このとき、「一応リンクだけ確認しよう」は避けてください。安全確認のつもりでも、その一歩が危険サイトへのアクセスになることがあります。
リンクを開いただけの場合
リンクを開いただけなら、まだ入力していないかをまず確認してください。入力していなければ被害が確定するわけではありませんが、安全とも言い切れません。メルカリ公式は、不審なWebサイトにアクセスしてしまった場合の対処方法を用意しており、アカウントの操作が可能なら、他端末の強制ログアウト、パスワード変更、決済履歴確認を案内しています。
開いただけの場合の対応は、次の順で進めると落ち着いて処理できます。
- そのサイトで何も入力していないことを確認する
- ブラウザを閉じる
- メルカリのパスワードを変更する
- 必要に応じてログイン中端末を強制ログアウトする
- 購入履歴、メルペイ利用履歴、登録情報に異常がないか確認する
ここでのポイントは、「開いただけだから何もしなくてよい」と自己判断しないことです。少なくとも、パスワード変更と履歴確認までは行っておくと安心感が大きく違います。
ログイン情報やカード情報を入力した場合
ログイン情報やカード情報を入力してしまった場合は、優先度が一気に上がります。メルカリ公式は、電話番号やパスワードなどを入力した場合、強制ログアウト、パスワード変更、決済履歴確認、不審な決済があれば問い合わせを行うよう案内しています。さらに、クレジットカード情報を入力した場合は、カード会社へ早急に連絡するよう明記しています。
この段階では、次の順番で動いてください。
| 状況 | まずやること | 次にやること |
|---|---|---|
| ログイン情報を入力した | パスワード変更 | 強制ログアウト、履歴確認、問い合わせ |
| SMS認証や認証番号も入力した | パスワード変更 | アカウント状態確認、問い合わせ |
| カード情報を入力した | カード会社へ連絡 | 利用停止、監視強化、再発行相談 |
| 何を入れたか曖昧 | メモを整理 | 影響範囲を確認して問い合わせ |
特に危険なのは、「入力したけれどまだ被害が見えないから様子見しよう」という判断です。不正利用はすぐ表面化しないこともあるため、入力後は防御側に倒して行動するほうが安全です。
メルカリのアカウント被害を防ぐ確認項目
不審メールに気づいた後は、被害の有無を確認する作業が必要です。ここを曖昧にすると、目立たない不正利用を見落とす可能性があります。メルカリ公式も、身に覚えのない決済履歴の確認と、不審な履歴がある場合の問い合わせを案内しています。
ログイン端末と決済履歴の確認
確認したいポイントは大きく分けて3つです。
ひとつ目は、ログイン状態です。自分以外の端末が利用中になっていないかを確認します。
ふたつ目は、メルカリやメルペイの履歴です。身に覚えのない購入、支払い、ポイント利用がないかを見ます。
みっつ目は、登録情報です。メールアドレス、電話番号、支払い方法などが書き換えられていないか確認します。
次のチェックリストで確認すると漏れを減らせます。
- 購入履歴に見覚えのない取引がないか
- メルペイの利用履歴に不審な決済がないか
- 登録メールアドレスが変更されていないか
- 電話番号や本人確認状況に異常がないか
- 売上金、ポイント、残高に不自然な動きがないか
不審な点が一つでもあるなら、「たぶん大丈夫」ではなく、問い合わせに進んだほうが安全です。
問い合わせ前に整理しておく情報
事務局への問い合わせは、情報が整理されているほどスムーズです。メルカリ公式も、状況や被害内容を詳しく伝える前提で案内しています。問い合わせ前に次の情報を手元にまとめておくと、説明が短時間で済みます。
| 項目 | まとめる内容 |
|---|---|
| 受信日時 | いつ届いたか |
| 件名 | どのような件名だったか |
| 差出人 | support@mercari.co.jp など |
| 実施した行動 | 開いていない、開いた、入力した |
| 入力した情報 | メールアドレス、電話番号、パスワード、カード情報など |
| 被害状況 | 決済、ログイン、登録変更の有無 |
この表をそのままメモに転記しておくだけでも、焦りがかなり軽くなります。問い合わせは情報戦でもあるため、状況の言語化が被害最小化につながります。
カード会社へ連絡すべきケース
カード情報を入力してしまった場合は、メルカリ側の確認と並行して、カード会社へも連絡してください。メルカリ公式は、カード情報を入力した場合はカード会社へ早急に問い合わせるよう案内しています。
連絡すべき場面は、次のようなケースです。
- カード番号を入力した
- 有効期限を入力した
- セキュリティコードを入力した
- 本人認証の画面に進んだ
- 身に覚えのない請求が出た
カード会社へは、「フィッシングサイトと思われる画面にカード情報を入力した可能性がある」と伝えると対応が早くなりやすいです。利用停止、監視強化、再発行の必要性などを確認してください。
メルカリの迷惑メールに今後ひっかからないための予防策
一度こうしたメールを受け取ると、また届いたときに不安になりやすくなります。逆に言えば、次のルールを決めておくだけで、かなり落ち着いて判断できるようになります。
メールではなくアプリから確認する習慣
もっとも効果的な予防策は、重要通知ほどメールから確認しないことです。本人確認、支払い方法、利用制限、ログイン通知といった重要テーマほど、まず公式アプリで確認する習慣を持つだけで、フィッシングに引っかかる確率は大きく下がります。メルカリ公式も、リンクにはアクセスせず、アプリや公式サイトを確認するよう案内しています。
習慣化のためには、次のように自分ルールを決めると有効です。
- 重要通知はメール本文から開かない
- まずアプリのお知らせを見る
- 公式サイトはブックマークから開く
- 不安なときは問い合わせ導線を使う
- 期限や停止という言葉が出ても、先に深呼吸してアプリを開く
この自分ルールは、家族にも共有しておくと役立ちます。特に高齢の家族や、久しぶりにメルカリを使う人ほど、もっともらしいメールに反応しやすいためです。
パスキーや認証強化を活用する
メルカリはパスキーの導入を進めており、2024年1月にはアプリ上のログインすべてに適用したと案内しています。2025年にはFIDO・パスキー認証の登録者数増加も公表しています。これは、パスワードだけに依存しない認証で、フィッシング耐性を高める取り組みの一つです。
もちろん、認証強化があっても、偽サイトで認証情報やカード情報を入れてしまえば危険は残ります。それでも、パスキーや認証強化を使っておくことで、被害の広がりを抑えやすくなります。メール対策とアカウント対策は、どちらか一方ではなく両方必要です。
家族や周囲にも共有したい判断ルール
フィッシング対策は、自分だけが知っていても不十分な場合があります。家族や同居人が同じ端末を使っていたり、相談を受けたりすることもあるため、次の一文を共有しておくと役立ちます。
「メルカリを名乗るメールが来ても、メールの中からは確認せず、必ずアプリや公式ヘルプを自分で開いて確認する」
この一文だけでも、対応の質がかなり安定します。見分け方を細かく覚えきれなくても、行動ルールさえ守れれば、多くのフィッシングを避けられるからです。
メルカリの迷惑メールでよくある質問
support@mercari.co.jpは必ず偽物ですか
見た目の送信元だけで断定するのは避けるべきですが、安全確認の観点では不審メールの可能性を前提に扱うのが妥当です。メルカリ公式が案内する主な送信元は @mercari.jp と @email.mercari.jp であり、さらに送信元偽装の可能性にも触れています。したがって、判定の正解を探すより、メール内リンクを使わずアプリや公式ヘルプで確認することが重要です。
アプリに同じ通知がなければ無視してよいですか
かなり不審です。少なくとも、メールの指示に従う必要はありません。アプリ内通知、利用状況、本人確認状況、公式ヘルプを確認して異常がなければ、そのメールを信用しないでよい可能性が高いです。
URLを開いただけでも危険ですか
入力していなければ即被害が確定するとは限りませんが、安心もしないほうがよいです。メルカリ公式は、不審サイトへアクセスした場合でも、パスワード変更や履歴確認を案内しています。開いただけでも、念のための対処をしておくと安心です。
パスワードを入れてしまったら何を先にやればよいですか
最優先はパスワード変更と、他端末の強制ログアウトです。その後、決済履歴と登録情報を確認し、不審な利用があれば事務局へ問い合わせてください。
カード情報も入れてしまった場合はどうすればよいですか
カード会社への連絡が必要です。メルカリ側への問い合わせと並行して、利用停止や監視強化、再発行の必要性を確認してください。
メルカリの不審メールで迷ったときの要点
support@mercari.co.jp や「メルカリ運営事務局」名義のメールは、もっともらしく見えても、その場で信用しないことが重要です。メルカリ公式は不審メール・SMSの存在を認めており、URLにアクセスせず、公式アプリや公式サイトから確認するよう案内しています。また、入力済みの場合には、強制ログアウト、パスワード変更、履歴確認、必要に応じた問い合わせやカード会社連絡まで案内しています。
大切なのは、見分け方を完璧に覚えることではありません。
「メールから確認しない」「アプリから確認する」「入力したらすぐ防御行動を取る」
この3点を覚えておけば、多くの被害は防げます。
不審なメールは、件名や表現を変えながら今後も続く可能性があります。実際、フィッシング対策協議会は複数年にわたりメルカリをかたるフィッシングを公表しており、メルカリも継続的に注意喚起と認証強化を進めています。最新のヘルプと公式案内を定期的に確認できる状態にしておくと安心です。
参考にした情報源
- メルカリ ヘルプセンター「身に覚えのないまたは不審なメールが届いた」
https://help.jp.mercari.com/guide/articles/1043/ - メルカリ グローバルヘルプ「メール通知・不審なメールが届く」
https://gl.help.jp.mercari.com/ja/guide/articles/gl_0021/ - メルカリ ヘルプセンター「不審なWebサイトへアクセスしてしまった場合の対処方法」
https://help.jp.mercari.com/guide/articles/1262/ - メルカリ グローバルヘルプ「メルカリ事務局へのお問い合わせ方法」
https://gl.help.jp.mercari.com/ja/guide/articles/gl_0001/ - フィッシング対策協議会「メルカリをかたるフィッシング 2023/05/15」
https://www.antiphishing.jp/news/alert/mercari_20230515.html - INTERNET Watch「メルカリをかたるフィッシング、件名『メルカリの事務局からのお知らせ』などの不審なメールに注意」
https://internet.watch.impress.co.jp/docs/news/1562948.html - メルカリ プレスリリース「メルカリ、すべてのログインに生体認証『パスキー』を導入」
https://about.mercari.com/press/news/articles/20240129_passkeys/ - メルカリ プレスリリース「安心安全な利用環境の構築に向けて導入した『メルカリ』内でのFIDO・パスキー認証の登録者数が1,000万人を突破」
https://about.mercari.com/press/news/articles/20250508_fido/ - メルカリ プレスリリース「安心・安全の取り組みに関する透明性レポート」
https://about.mercari.com/press/news/articles/20260227_transparencyreport/