フリマアプリ大手のメルカリは、本人確認書類の画像提出を装う新たなフィッシング詐欺を確認したと発表した。
あわせて、24時間365日の監視体制や認証機能を通じた被害防止策を案内している。
身分証画像を狙う偽サイト確認、パスキー活用を推奨
2025年12月12日、メルカリは、本人確認書類の画像を不正に取得することを目的とした巧妙なフィッシングサイトが新たに確認されたと発表した。
これまでに案内していたIDやパスワードなどのアカウント情報詐取に加え、今回の手口では運転免許証などの身分証画像を直接要求する点が特徴となっている。
詐欺サイトは「アカウントの制限解除」や「不正利用の確認」といった名目で利用者を誘導し、本人確認が必要であるかのように装う。
画面構成はメルカリの正規本人確認ページを精巧に再現しており、利用者が偽サイトと判別することは極めて難しいという。
身分証画像が送信された場合、氏名、生年月日、住所などの重要な個人情報が第三者に渡る可能性がある。
これにより、アカウントの不正利用にとどまらず、なりすましや情報悪用などの二次被害が生じる恐れがあるとしている。
メルカリは、こうした被害を防ぐための公式案内として、不審なメールやSMSのリンクを開かず、必ず公式アプリやブックマークからアクセスするよう呼びかけている。
加えて、万が一IDやパスワードが漏えいした場合でも不正ログインを防ぐ手段として、パスキー認証の利用を推奨している。
また、メルカリはセキュリティ対策として、24時間365日のモニタリング体制により不正検知やフィッシングサイトの閉鎖依頼を行っているとしている。
本人確認の常態化が生む利便性と新たなリスク
今回の事例は、本人確認が日常的な手続きとなった現状において、その仕組み自体が詐欺に悪用されうることを示している。
利用者にとって本人確認は安全性を高める一方、提出情報が多い分、被害発生時の影響が大きくなりやすい点は課題と言える。
一方で、パスキー認証やパスワードマネージャーといった認証手段の普及は、フィッシング対策として一定の効果が期待できる。
正規サイト以外では認証が成立しにくい仕組みを活用することで、利用者側のリスク低減につながる可能性がある。
プラットフォーム側では、24時間365日の監視体制やフィッシングサイトの検知・閉鎖対応が継続的に行われているというが、手口の高度化に完全に追いつくことは容易ではないと思われるため、技術対策と並行した注意喚起が欠かせないだろう。
今後は、利便性を損なわずに安全性を高める運用設計と、利用者が正しいアクセス経路を守る行動を定着させられるかが重要となりそうだ。
本人確認を前提とするサービスが拡大する中で、セキュリティ意識の底上げが市場全体の信頼性を左右すると考えられる。
関連記事:
メルカリ、不正対策やサポート状況を公開 「透明性レポート」を初公表
