Makuakeのメッセージは本物?乗っ取りアカウントから届くフィッシングの見分け方
🛡️ この記事について:「情報処理安全確保支援士」(IPA認定 国家資格)保有者が執筆し、Makuake・警察庁の一次情報を確認しています。 → 編集方針・運営者情報
⏱️ 30秒でわかる|まずこれだけ
Makuakeの正規サイト内に表示されたメッセージでも、送信者がなりすましアカウントや乗っ取られた正規会員の可能性があります。メッセージ内のURLは開かず、Makuakeの公式アプリ・ブックマーク・自分で入力した公式URLから確認してください。パスワードを入力したら直ちに変更し、使い回している全サービスも変更。カード情報を入力したらカード会社へ連絡し、利用停止・再発行を相談します。
「Makuakeの画面に届いたメッセージだから本物」「正規会員の名前とアイコンだから安心」——そう思ってリンクを開くと、偽サイトへ誘導される可能性があります。株式会社マクアケは2026年7月8日、サイト内メッセージ機能を悪用したフィッシングについて注意を呼びかけました。
今回確認されたのは、単純な偽メールだけではありません。第三者がMakuakeを装った新規アカウントを作るほか、既存会員のアカウントへ不正ログインし、正規サービスの中から偽サイトへのリンクを送る手口です。氏名・住所・メールアドレス・パスワード・クレジットカード情報などが狙われます。
この記事の結論
- 正規サイト内のメッセージでも、送信アカウントが本物とは限らない
- Makuakeがメッセージ機能で、外部サイトへのログインやパスワード・カード情報の入力を求めることはない
- 確認はメッセージのリンクではなく、公式アプリ・ブックマーク・公式ヘルプから別経路で行う
- パスワードを入力したら、公式サイトから変更し、使い回している全サービスも変更する
- カード情報を入力したら、カード会社へ連絡して利用停止・再発行を相談する
Makuakeで何が確認されたのか
Makuakeの公式発表では、主に次の3パターンが確認されています。
- 新規アカウントを公式窓口のように見せる
アカウント名やアイコン画像をMakuakeの公式窓口風に設定し、偽サイトへ誘導します。 - 乗っ取ったアカウントを公式窓口風に変更する
既存会員のアカウントへ不正ログインし、名前やアイコンを変更して送信します。 - 乗っ取った正規会員の見た目をそのまま使う
名前やアイコンを変えず、正規会員から届いたように見せてリンクを送ります。
3つ目は特に見分けにくい手口です。以前にやり取りした相手や、見覚えのある正規会員に見えても、送信時点では第三者に操作されている可能性があります。送信者名やアイコンだけで判断せず、メッセージの内容と求められている操作を確認してください。
「Makuakeから情報流出」とは断定しない
今回の発表を「MakuakeからIDやパスワードが流出した」と読み替えないよう注意が必要です。マクアケは、本件を自社からの情報流出ではなく、外部で入手されたとみられるメールアドレスとパスワードの組み合わせを使ったリスト型攻撃と推定しています。
一方で、不正ログインされたアカウントの登録情報が第三者に閲覧された可能性を含め、調査は継続中です。整理すると、次のようになります。
確認済み
サイト内メッセージを悪用した偽サイトへの誘導
会社の推定
外部で入手された認証情報を使ったリスト型攻撃
調査中
乗っ取られたアカウントの登録情報が閲覧された可能性
危険なメッセージを見分ける5つのサイン
- 外部サイトへのURLが記載されている
- リンク先でもう一度ログインするよう求められる
- 「本人確認」「セキュリティ確認」などを理由に情報入力を求められる
- パスワードやクレジットカード情報を入力させようとする
- 「アカウント停止」「期限切れ」「今すぐ」などの言葉で急がせる
Makuakeは、メッセージ機能を通じて本人確認、外部サイトでのログイン、パスワードやクレジットカード情報の入力を依頼することはないと説明しています。1つでも当てはまる場合は、リンクを開かずにメッセージを閉じてください。
安全な確認方法|リンクを使わず別経路へ
- 不審なメッセージを閉じる
- Makuakeの公式アプリ、ブックマーク、自分で入力した公式URLから開く
- 通知、アカウント状態、登録情報に覚えのない変更がないか確認する
- 問い合わせる場合は、メッセージ記載の連絡先ではなく公式ヘルプの問い合わせフォームを使う
- メッセージ画面、送信者名、URL、受信時刻をスクリーンショットで保存する
覚え方は「閉じる → 別の道から開く」
本当に手続きが必要なら、公式アプリや公式サイトから入り直しても通知を確認できます。メッセージ内のリンクだけが入口になっている場合は、フィッシングを疑ってください。
リンクを開いてしまった場合
開いただけで、何も入力・ダウンロード・インストールしていない場合は、まずページを閉じてください。そのうえで、ダウンロード履歴、通知の許可、追加されたアプリやブラウザー拡張機能がないか確認します。偽サイト内に表示されるチャットや問い合わせ窓口も使用しないでください。
URLや画面を記録する場合は、再び偽サイトを開くのではなく、ブラウザー履歴や受信メッセージから確認できる範囲で保存します。不審なファイルを開いた、アプリをインストールした場合は、ウイルス・マルウェア感染が疑われるときの対処も確認してください。
パスワードを入力してしまった場合
- Makuakeの公式サイト・公式アプリからパスワードを変更する
- 同じパスワードを使っている他サービスをすべて洗い出す
- 各サービスで別々のパスワードへ変更する
- 同じパスワードをメールにも使っていた場合は、メールを最優先で変更する
- ログイン履歴、登録情報、アカウント名、アイコンに覚えのない変更がないか確認する
- Makuakeカスタマーサポートへ連絡する
パスワードの使い回しを解消するには、パスワードマネージャーが便利です。提供されているサービスでは、多要素認証やパスキーも設定してください。詳しくはパスワードマネージャーの使い方とパスキー入門を参照してください。
クレジットカード情報を入力した場合
- カード裏面またはカード会社の公式アプリにある窓口へ連絡する
- フィッシングサイトへ入力したことを伝え、利用停止と再発行を相談する
- 直近の利用明細を確認し、覚えのない決済を申告する
- メッセージ、URL、画面、入力時刻、利用明細を保存する
- Makuakeサポートと、必要に応じて警察相談#9110へ相談する
カードを止めるべきか迷っている間にも、不正利用される可能性があります。入力した時点でカード会社へ相談してください。詳しい連絡手順はクレジットカード情報を入力してしまったときの初動にまとめています。
Makuakeが行っている対応
- なりすましや不正ログインが確認されたアカウントの利用停止・ロック
- 対象アカウントを全端末から強制ログアウト
- フィッシングメッセージを受信者・送信者双方の画面から非表示化
- URLを含むメッセージの一部送信制限
- 対象会員への連絡と調査の継続
対策が行われていても、手口を変えたメッセージが届く可能性はあります。「削除されたから証拠が残っていない」という場合でも、受信通知メール、ブラウザー履歴、カード利用履歴など残っている情報をまとめて相談してください。
Makuake以外でも使える共通ルール
この手口は、通販、フリマ、ホテル予約、クラウドサービスなど、利用者同士や事業者とメッセージをやり取りできるサービス全般で応用されます。正規サービス内の会話であっても、アカウントが乗っ取られると、本物の会話の途中に偽リンクが混ざることがあります。
家族で共有したいルール
- 外部リンク、再ログイン、本人確認が出たら一度閉じる
- パスワード・カード情報はメッセージのリンク先へ入力しない
- 公式アプリ・ブックマークから確認し直す
- 「停止」「期限」「今すぐ」と言われたときほど家族に相談する
よくある質問
Makuakeの画面内に表示されたメッセージなら安全ですか?
安全とは限りません。なりすましアカウントや、不正ログインされた正規会員から送られる場合があります。リンク、再ログイン、本人確認、カード情報の要求があれば、別経路で確認してください。
公式窓口の名前やアイコンなら信用できますか?
名前やアイコンは第三者でも似せられます。見た目ではなく、メッセージ機能で外部サイトへのログインや重要情報の入力を求めていないかを確認してください。
カード情報を入力しましたが、不正利用はまだありません
不正利用が確認できるまで待たず、カード会社へ連絡してください。利用停止・番号変更・再発行が必要かはカード会社の案内に従います。
どこへ相談すればいいですか?
Makuakeカスタマーサポート、利用したカード会社、警察のサイバー犯罪相談窓口または警察相談専用電話#9110へ相談できます。金銭被害が進行中、脅しや身の危険がある場合は110番です。
まとめ|正規画面でも、リンクを閉じて別経路で確認
- 正規サイト内のメッセージでも送信者が本物とは限らない
- Makuakeはメッセージ機能で外部ログインやパスワード・カード入力を求めない
- 確認は公式アプリ・ブックマーク・公式ヘルプから行う
- パスワード入力後は使い回した全サービスで変更する
- カード入力後はカード会社へ直ちに連絡する
- 画面・URL・時刻・利用履歴を証拠として保存する
家族にそのまま送れる一言
Makuakeなど正規サイトの中に届いたメッセージでも、リンク先でログインやカード情報を求められたら開かないでね。いったん閉じて、公式アプリやブックマークから確認し直そう。入力してしまったら、すぐパスワード変更やカード会社への連絡をしてね。
⚠️ 注意:本件は2026年7月13日時点の公式発表に基づきます。調査状況や対策は更新される可能性があります。最新情報はMakuake公式サイト・公式ヘルプをご確認ください。
参考・出典
