身に覚えのないメールを見抜けたとき、少しほっとしますよね。でも、その安心を逆手に取る手口があります。それが二段階式フィッシングメールです。1通目をわざと怪しく作り、見破った人を次の標的にします。
警視庁が2026年6月に注意を呼びかけました。二段階式フィッシングメールは、警戒心の強い人ほど引っかかりやすい点が特徴です。この記事では、手口の流れから見分け方、受け取った後の対応まで、順番にやさしく整理していきます。
二段階式フィッシングメールとは?警視庁が注意喚起した新手口
まずは全体像をつかみましょう。二段階式フィッシングメールは、2通のメールを組み合わせた手口です。1通目で警戒させ、2通目でだます。この流れを知るだけで、引っかかる確率はぐっと下がります。
二段階式フィッシングメールの基本的な仕組み
この手口は、人の警戒心を利用します。1通目は、あえて見破りやすい怪しいメールです。受け取った人は「これは怪しい」と気づきます。ここまでは攻撃者の計算どおりです。
次に2通目が届きます。今度は注意喚起を装った、もっと巧妙なメールです。1通目で警戒した人ほど、2通目を信じてしまいます。気づいたつもりが、結局だまされてしまう。それがこの手口の怖いところです。
警視庁サイバー攻撃対策センターが投稿した内容
警視庁は、サイバー関連の情報を発信するXアカウント(@MPD_cybersec)で注意を呼びかけました。投稿の日付は2026年6月11日です。フィッシングメールが巧妙になっていると指摘しています。
公開された内容では、2通のメールの具体例が紹介されました。メール受信者の注意力を逆手に取った手法だと説明しています。公的機関がわざわざ例を示すほど、注意が必要な手口だと言えます。
従来のフィッシングメールとの違い
これまでのフィッシングメールは、1通で完結するものが中心でした。偽サイトへ誘導し、情報を入力させる。シンプルな構造です。怪しいと気づけば、それで防げました。
二段階式は、そこに「ひとひねり」が加わります。1通目で安心させてはいけないのに、安心してしまう。その心理のすき間を突いてきます。見破ったという成功体験が、油断につながるのです。
| 比較項目 | 従来のフィッシング | 二段階式フィッシング |
|---|---|---|
| メールの数 | 1通で完結 | 2通を組み合わせる |
| 1通目の役割 | だますための本命 | わざと見破らせる囮 |
| 狙う相手 | 気づかない人 | 1通目を見破った人 |
| だます道具 | 緊急性や不安 | 注意喚起への信頼 |
二段階式フィッシングメールの具体的な手口の流れ
実際の流れを追ってみましょう。警視庁が示した例は、社内メールを装ったものです。会社で働く人なら、つい開いてしまう内容になっています。3つの段階に分けて見ていきます。
1通目「本社会計係」を装った不審なメール
最初に届くのは、会計係を名乗るメールです。例えば「通勤手当の申請をしてください」といった内容です。よく見ると、差出人やURLに不自然な点があります。
受け取った人の多くは、ここで違和感を覚えます。「これは怪しいな」と感じます。そして「担当者に報告しておこう」と考えます。この時点では、まだ被害は出ていません。むしろ正しい判断をしています。
件名:【本社会計係】通勤手当申請のお願い
お疲れさまです。本社会計係です。
通勤手当の再申請が必要となりました。
下記URLよりお手続きください。
example-kaikei-shinsei.xxx2通目「本社システム担当」を装った注意喚起メール
そのすぐ後に、2通目が届きます。今度はシステム担当を名乗ります。内容は「社員に不審なメールが送信されています」という注意喚起です。一見すると、味方からの連絡に思えます。
そして「受信状況を調査するので、こちらから回答してください」と続きます。1通目を疑った直後だからこそ、この調査依頼を信じてしまいます。タイミングが、人の心理に合わせて計算されています。
件名:【本社システム担当】不審メールに関する調査のお願い
社員の皆さまへ
現在、不審なメールが複数送信されています。
受信状況を調査しております。
下記より受信の有無をご回答ください。
example-system-chosa.xxx偽サイトへ誘導し情報を入力させる最終段階
2通目のリンクをクリックすると、偽サイトが開きます。本物そっくりに作られた入力画面です。ここでIDやパスワードを入力すると、その情報が攻撃者に渡ります。
入力した本人は、調査に協力したつもりです。だまされた自覚がありません。気づかないうちに情報を抜き取られる点が、この手口の厄介なところです。被害の発覚が遅れやすくなります。
なぜ1通目を見破った人ほど2通目で騙されるのか?理由とは
ここが、この手口の核心です。注意深い人が、なぜ引っかかるのか。理由は、人の心の自然な動きにあります。3つの心理から読み解いていきましょう。
「報告しなければ」という心理を突く設計
1通目を見破ると、人は次の行動を考えます。「誰かに知らせなきゃ」という気持ちです。会社では特に強く働きます。放置すると、自分以外の人が被害に遭うかもしれないからです。
その気持ちが高まったところに、2通目が届きます。内容はまさに「不審メールの調査」です。自分が考えていたことと、メールの内容がぴったり重なります。だから、疑う余地なく協力してしまうのです。
注意喚起を装うことで生まれる安心感
注意喚起メールには、独特の安心感があります。「守ってくれる側からの連絡」に見えるからです。攻撃ではなく、防御のためのメールだと感じます。警戒のスイッチが、いったんオフになります。
実際には、その安心感こそが罠です。攻撃者は、味方のふりをして近づいてきます。怪しいメールを警戒する一方で、味方からの連絡は信じる。この心理のギャップを突かれます。
警戒心が裏目に出る心理的な仕組み
1通目を見破った人は、ある種の達成感を覚えます。「自分は引っかからなかった」という自信です。この自信が、次の判断を甘くします。
人は一度成功すると、続けて成功すると思いがちです。だから2通目を冷静に疑えません。警戒心が強い人ほど、その自信を利用されてしまうのです。注意深さが、かえって弱点になる。皮肉な構造です。
二段階式フィッシングメールが広がる背景とは
なぜ今、こうした手口が出てきたのでしょうか。背景には、いくつかの変化があります。技術の進歩と、被害の増加が関係しています。順に見ていきましょう。
AI・翻訳技術の発展で文面の不自然さが減った
以前のフィッシングメールには、わかりやすい特徴がありました。不自然な日本語や、おかしな言い回しです。それを手がかりに、見分けることができました。
ところが今は、状況が変わっています。警視庁も、AIや翻訳技術の発展で不自然な点を見つけにくくなったと指摘しています。「日本語がおかしいから偽物」という見分け方は通用しにくくなりました。文面だけで判断するのは危険です。
フィッシング報告件数の推移
被害の件数も増え続けています。フィッシング対策協議会によると、2024年に報告されたフィッシングは171万8036件でした。前の年と比べて44%増えています。過去最高の件数です。
この数字は、報告された分だけです。気づかれていない被害も含めれば、もっと多いはずです。フィッシングは、誰の身にも起こりうる問題になっています。他人事ではありません。
企業・組織が標的になりやすい理由
二段階式の例は、社内メールを装っていました。これは偶然ではありません。会社には、業務メールが日常的に飛び交います。1通くらい増えても、違和感を持たれにくいのです。
さらに、組織には「報告」「調査」「確認」といった文化があります。攻撃者は、その流れに自然に紛れ込みます。業務に見せかけるほど、警戒されにくくなります。だから組織が狙われやすいのです。
二段階式フィッシングメールの見分け方
見分けのコツを知っておきましょう。文面の自然さだけに頼ってはいけません。差出人やURL、急かす言葉に注目します。3つの視点を持つと、判断しやすくなります。
差出人アドレスやドメインを確認する
まず見るべきは、差出人のメールアドレスです。表示名だけでは判断できません。実際のアドレスやドメインを確認します。本物の会社のドメインと、1文字でも違えば疑います。
ただし、アドレスは偽装されることもあります。だから、これだけで安心してはいけません。複数のチェックを組み合わせることが大切です。1つの手がかりに頼りすぎないようにしましょう。
「調査」「確認」を急がせる文面に注意する
二段階式の2通目は、調査への協力を求めてきます。「今すぐ回答を」「至急確認を」といった言葉が並びます。急かす表現が出てきたら、いったん立ち止まりましょう。
正規の連絡なら、メール1通で完結する手続きは多くありません。急がせる言葉は、冷静さを奪うための仕掛けです。焦らせる文面ほど、疑ってかかるくらいでちょうどよいのです。
不自然なURLリンクの見抜き方
メール内のリンクは、安易にクリックしません。リンクの上にカーソルを置くと、実際の遷移先が表示されます。表示名と遷移先が違えば、危険なサインです。
スマホの場合は、長押しでURLを確認できます。見覚えのない文字列や、本物と微妙に違う綴りに注意します。少しでも不安なら、開かない。それが一番確実な見分け方です。
不審なメールを受け取ったときの正しい対応
見分けた後の動きも大切です。ここでミスをすると、せっかくの警戒が無駄になります。警視庁が示した対応のポイントを押さえましょう。鍵は「メールの中身を信じない」ことです。
メール内のURLや記載の連絡先は使わない
不審なメールに書かれたURLは、クリックしてはいけません。記載された電話番号やメールアドレスも使いません。それらが偽物である可能性が高いからです。
ここがつまずきやすいポイントです。「確認のために問い合わせよう」と思っても、メール内の連絡先を使えば相手の思うつぼです。確認の手段まで、攻撃者が用意していると考えましょう。
公式サイトから連絡先を調べて確認する
送信元に確認したいときは、別の方法を使います。公式サイトを自分で検索し、正しい連絡先を調べます。そこから電話やメールで問い合わせます。
警視庁も、メールとは異なる手段での連絡を勧めています。メールで来た情報は、メール以外で裏取りする。この習慣があれば、二段階式の罠も外せます。少し手間でも、確実です。
社内で共有・報告する際の注意点
会社で不審なメールを受け取ったら、社内で共有します。ただし、共有の方法にも注意が必要です。報告した直後に届く「調査メール」が、偽物かもしれないからです。
報告は、決められた正規の窓口に行います。情報システム部門や、社内のルールに沿った連絡先です。突然届く調査依頼は、正規の窓口かどうかを必ず確かめます。急いで返信しないことが身を守ります。
二段階式フィッシングメールに騙されないための対策
日頃の備えも欠かせません。仕組みで守れば、判断ミスをしても被害を防げます。個人でできる対策を3つ紹介します。どれも今日から始められるものです。
多要素認証(MFA)を設定する
多要素認証は、強い味方です。IDとパスワードに加えて、もう1つの確認を求める仕組みです。スマホへの通知や、ワンタイムコードなどがあります。
もし偽サイトにパスワードを入力してしまっても、もう1段階の壁が残ります。多要素認証があれば、情報が漏れても不正ログインを防ぎやすくなります。主要なサービスでは、ぜひ設定しておきましょう。
公式アプリやブックマークからアクセスする習慣
サービスにログインするとき、メールのリンクは使いません。あらかじめ公式アプリを入れておきます。または公式サイトをブックマークしておきます。そこからアクセスします。
偽サイトは、本物そっくりに作られています。見た目だけでは見抜けません。入り口を自分で固定しておけば、偽サイトに迷い込みません。この習慣が、多くの被害を防ぎます。
セキュリティ教育・訓練を継続的に行う
手口は変わり続けます。だから知識も更新が必要です。最新の事例を知っておくだけで、引っかかりにくくなります。今回の二段階式も、知っていれば気づけます。
会社なら、定期的な研修や訓練が有効です。個人でも、公的機関の注意喚起に目を通す習慣を持ちましょう。手口を知ることが、最も手軽で効果の高い対策です。
もし偽サイトに情報を入力してしまった場合の対処法
万が一、入力してしまっても落ち着いてください。早く動けば、被害を抑えられます。やるべきことは決まっています。次の手順を覚えておきましょう。
すぐにパスワードを変更する
最初にすることは、パスワードの変更です。入力してしまったサービスのパスワードを、すぐに変えます。同じパスワードを他でも使っている場合は、それらも変更します。
変更は、偽サイトからではなく公式サイトから行います。使い回しているパスワードは、すべて別のものに変えましょう。1か所の漏れが、他のサービスに広がるのを防ぎます。
金融機関やサービス事業者へ連絡する
クレジットカードや銀行の情報を入力した場合は、急ぎます。カード会社や金融機関に、すぐ連絡します。利用停止や再発行の手続きを取ってもらいます。
連絡先は、カード裏面や公式サイトで確認します。身に覚えのない取引がないか、利用明細も確認しましょう。早めの連絡が、不正利用を食い止めます。
警察やフィッシング対策協議会へ通報する
被害に気づいたら、通報も大切です。警察にはサイバー犯罪の相談窓口があります。フィッシング対策協議会でも、報告を受け付けています。
通報は、同じ手口の被害を広げないためにも役立ちます。あなたの報告が、他の人を守ることにつながります。恥ずかしがらず、早めに相談することが大切です。一人で抱え込まないでください。
企業が組織的に行うべきフィッシング対策とは
組織には、組織ならではの守り方があります。個人任せにせず、仕組みで防ぎます。二段階式は社内メールを装うため、対策の効果が大きい分野です。3つの柱を見ていきましょう。
標的型攻撃メール訓練を実施する
訓練用の疑似メールを社員に送る方法があります。実際に体験することで、見分ける感覚が身につきます。引っかかった人を責めるためではありません。気づきを得るための訓練です。
二段階式のような新しい手口も、訓練に取り入れられます。体験した手口には、次から引っかかりにくくなります。定期的に行うことで、組織全体の警戒レベルが上がります。
メール認証技術(SPF・DKIM・DMARC)を導入する
なりすましメールを技術で防ぐ仕組みもあります。SPF、DKIM、DMARCと呼ばれる認証技術です。送信元が本物かどうかを、システムが判定します。
これらを導入すると、自社を装った偽メールが届きにくくなります。人の注意力だけに頼らない守りができます。技術と人の両面から固めるのが理想です。
インシデント発生時の報告フローを整備する
被害が起きたとき、誰にどう報告するか。これを事前に決めておきます。連絡先が明確なら、社員は迷いません。正規の窓口がわかっていれば、偽の調査メールにもだまされません。
報告フローは、わかりやすく周知します。正規の連絡経路を全員が知っていることが、偽の注意喚起への最大の防御です。備えが、混乱を防ぎます。
よくある質問(FAQ)
最後に、よく寄せられる疑問にお答えします。細かい点が気になる方は、ここで解消してください。実際の場面で役立つ内容を選びました。
二段階式フィッシングメールと標的型攻撃メールの違いは?
標的型攻撃メールは、特定の組織や人を狙ったメールの総称です。二段階式は、その中の1つの手法と考えるとわかりやすいです。2通を組み合わせる点が、二段階式の特徴です。
どちらも、業務に見せかけて近づいてきます。共通するのは、相手をよく調べて作られている点です。手口の名前は違っても、警戒すべき姿勢は同じです。
スマホでも二段階式フィッシングメールは届きますか?
届きます。メールはパソコンとスマホの両方に届きます。むしろスマホは画面が小さく、URLを確認しにくい面があります。注意が必要です。
スマホでは、リンクを長押しして遷移先を確認しましょう。表示名にだまされないことが大切です。焦って指でタップしないよう、気をつけてください。
社内からの注意喚起メールはすべて疑うべきですか?
すべてを疑う必要はありません。ただし、URLから入力を求めるものには注意します。正規の注意喚起なら、リンクへの入力を急かすことは少ないからです。
判断に迷ったら、正規の窓口に確認します。メール内の連絡先は使いません。少しの手間で、安全を確かめられます。
偽サイトを開いただけで被害に遭いますか?
リンクを開いただけなら、すぐ情報が漏れるわけではありません。被害の多くは、IDやパスワードを入力した時に起こります。開いてしまっても、入力しなければ落ち着いて対処できます。
ただし、開いた時点で何かをダウンロードさせる手口もあります。心当たりがあれば、不審なファイルは開かず、端末の状態を確認しましょう。
被害に気づいたときの通報先はどこですか?
警察のサイバー犯罪相談窓口が、主な通報先です。お金の被害があれば、金融機関やカード会社にも連絡します。フィッシング対策協議会への報告も役立ちます。
通報は早いほど効果的です。被害の拡大を抑えやすくなります。情報を整理して、落ち着いて伝えましょう。
まとめ
二段階式フィッシングメールは、見破った安心を逆手に取る手口でした。1通目で警戒させ、2通目の注意喚起でだます。だからこそ、注意深い人ほど気をつける必要があります。守りの基本は、メールの中身を信じすぎないことです。確認は、必ず別の手段で行いましょう。
なお、似た発想の手口はメール以外にも広がっています。電話を使うボイスフィッシングや、SMSを使うスミッシングです。入り口は違っても、人の心理を突く点は同じです。今日からできる一歩として、まずは主要なサービスで多要素認証を設定してみてください。仕組みで守る備えが、いざという時のあなたを助けてくれます。
参考文献
- 「二段階式フィッシングメールに注意 1通目を見破った人を2通目でだます 警視庁」- ITmedia NEWS
- 「警視庁、メール受信者の注意力を逆手に取った二段階式フィッシングメールに注意喚起」- INTERNET Watch
- 「【サイバー攻撃対策センター】二段階式フィッシングメールに関する注意喚起」- 警視庁サイバー(@MPD_cybersec)/X
- 「フィッシング報告状況」- フィッシング対策協議会