フィッシング対策が浸透する一方で、攻撃者は「気付ける人」を逆手に取る巧妙な手口へ進化しています。警視庁が注意を呼び掛けたのが、二段階式フィッシングメールです。1通目は比較的わかりやすい“釣り”で警戒心を高めさせ、2通目で本命の誘導を行うことで、普段は騙されにくい層まで取り込む点が特徴です。本記事では、二段階式の狙い、典型パターン、見抜き方、そして組織としての実務的な対策を整理します。
二段階式フィッシングメールの仕組み
従来のフィッシングは、1通のメール内で「危機感を煽る文面」→「リンクを踏ませる」→「ID・パスワードやカード情報を入力させる」という流れが一般的でした。二段階式では、これをあえて分割します。
第1段階では、受信者が「怪しい」と気付くような要素を含めたメールを送ります。ここで受信者は警戒し、場合によっては社内のヘルプデスクに相談したり、メールを無視したりします。攻撃者にとって重要なのは、受信者の行動を揺さぶり、以降のメッセージを“それらしく”見せる土台を作ることです。
第2段階では、1通目のやり取りや受信者の心理状態を利用し、「さきほどの通知は誤送信でした」「不審メールを確認したので安全のため再認証してください」「本人確認が未完了です」など、より納得感のある文面で誘導します。攻撃者は、1通目で警戒した受信者ほど「今度は本物かもしれない」「確認しないと不安」という心理になりやすい点を突きます。
なぜ“見破った人”が次に狙われるのか
フィッシングの成功率は、受信者のリテラシーに強く依存します。しかし二段階式では、攻撃者が次のような効果を狙えます。
- 警戒心の慣れ(ハビチュエーション):1通目で「怪しいが被害はなかった」と経験すると、2通目で注意力が落ちる。
- 不安の植え付け:「自分のアカウントが狙われたかも」という不安を残し、再認証や確認行動を促す。
- 文脈の付与:単発のメールよりも、連続した通知の方が“実在する手続き”に見えやすい。
- 選別(スクリーニング):1通目への反応(返信、クリック、問い合わせ等)を手掛かりに、次に騙しやすい相手を絞り込める。
特に企業環境では、1通目を社内に共有した後に「追加情報」「正式版」「訂正」などの形で2通目が届くと、業務として処理してしまうケースもあります。
よくある二段階式のシナリオ例
認証・セキュリティ確認を装う
1通目で「不審ログイン検知」などの通知を送り、2通目で「対策のため再認証」「利用停止を解除するため本人確認」として偽サイトへ誘導します。偽サイトは本物のログイン画面を精巧に模倣し、ID・パスワードに加えてワンタイムパスワードまで入力させるケースもあります。
配送・請求・口座更新を装う
1通目で「不在通知」「支払い失敗」を送って注意を引き、2通目で「再配達手続き」「決済情報の更新」へ誘導します。業務用アカウントと私用アカウントの両方に同様の通知を投げ、生活動線の中でクリックさせる設計も見られます。
社内IT部門・取引先になりすます
1通目で「重要なお知らせ(仮)」のような曖昧な件名、2通目で「先ほどの件の正式手順」「対応期限」など具体性を増した指示が来るパターンです。Microsoft 365やGoogle Workspaceなどのクラウド利用が一般化したことで、「権限更新」「ストレージ超過」「共有ファイル確認」といった業務に紛れやすい題材が増えています。
見抜くポイント:メールの文脈に騙されない
二段階式で重要なのは、2通目が“それっぽい文脈”を持っていても、技術的な確認を省略しないことです。次の観点で判断します。
- 差出人表示名ではなく送信元ドメイン:表示名は偽装しやすい。実際のドメインやReturn-Path等の整合性を確認する。
- リンク先のドメイン:文面が正しくてもリンク先が不自然なら危険。短縮URLやリダイレクトも警戒する。
- 求められる情報の範囲:再認証の名目でパスワード、カード情報、個人情報を一度に求めるのは典型的な危険信号。
- 緊急性と罰則の強調:「直ちに」「停止」「違約金」などを過度に強調する文面は要注意。
- 手順がメール起点になっている:本来の手続きは公式アプリやブックマークした正規サイトから行う。
特に「1通目は怪しかったが、2通目は丁寧で正しそう」という感覚は、攻撃者が設計した心理誘導である可能性があります。
個人ができる対策:被害を“入力前”に止める
個人の対策はシンプルですが、徹底すると被害確率が大きく下がります。
- ログインはメールのリンクから行わない:公式アプリか、ブックマーク済みのURLからアクセスする。
- パスワードの使い回しをやめる:1サービスで漏れると他サービスに波及する。
- 多要素認証を有効化:ただし「入力させるタイプの偽サイト」もあるため、承認通知の内容確認や、可能ならパスキー等の導入も検討する。
- 不審メールは保存して相談:削除前に、ヘッダー情報を含めて相談できると追跡に役立つ。
企業が取るべき対策:二段階式を前提にした運用へ
企業では「教育」だけに依存すると限界があります。二段階式は、教育を受けた人の心理すら狙うため、技術対策と業務プロセスの組み合わせが重要です。
メール認証と隔離の強化
SPF/DKIM/DMARCの整備、なりすまし検知、危険URLのサンドボックス検査、外部送信者表示などで、到達率とクリック率を下げます。特にDMARCの運用は「設定したつもり」で止まりやすいので、監視と改善が欠かせません。
“公式手順”を社内で統一する
「アカウント確認はこのポータルから」「パスワード変更依頼はこの窓口から」といった正規導線を固定し、メールで手順を完結させないルールを明文化します。二段階式は“もっともらしい手順案内”で勝負してくるため、正規導線の一本化が有効です。
通報フローとインシデント対応の整備
二段階式の特徴は「継続攻撃」です。1通目を通報した従業員がいるなら、2通目が来る前提で、類似件名・送信元・URLを監視し、メールゲートウェイで横展開ブロックできる体制が望まれます。通報窓口、一次対応、全社アラート、ログ保全の流れを事前に決め、定期的に訓練します。
もし入力してしまった場合の初動
被害を最小化するにはスピードが重要です。入力してしまった可能性がある場合は、パスワード変更、セッションの強制ログアウト、多要素認証の再設定、同一パスワードを使う他サービスの変更を優先します。企業では加えて、端末のマルウェア有無確認、メール転送ルールの不正設定、権限変更、監査ログ確認までをセットで実施します。
まとめ:二段階式は「気付ける人」ほど危ない
二段階式フィッシングメールは、単なる文面の巧拙ではなく、人の心理と業務の流れを利用する攻撃です。1通目で警戒した経験が、2通目での油断につながるよう設計されています。個人は「リンクからログインしない」を徹底し、企業はメール認証・検知の強化と、正規手順の一本化、通報から横展開ブロックまでの運用を整えることが、実効性の高い防御につながります。