不審なメールを見破った後に、「先ほどのメールは不審メールです」「社員に不審なメールが送信されています」「調査のため確認してください」といった別のメールが届くと、安心してリンクを開いてしまうことがあります。
しかし、最初の不審メールで警戒させたあと、次に届く偽の注意喚起メールで信用させる「二段階式フィッシングメール」もあります。1通目を見破ったからといって、2通目が安全とは限りません。
この記事では、二段階式フィッシングメールが届いた時に、メール内リンクを開く前に確認したいこと、公式窓口への確認方法、会社PCや業務メールでの注意点を整理します。実際の詐欺メール本文や偽URLは掲載せず、安全に確認する流れを中心に扱います。
二段階式フィッシングメールとは
二段階式フィッシングメールとは、最初に分かりやすい不審メールを送り、その後に「不審メールへの注意喚起」を装った別のメールを送って、受信者を偽サイトへ誘導するような手口です。
1通目のメールを見て「これは怪しい」と判断できた人ほど、2通目の注意喚起メールを本物だと思い込みやすくなります。つまり、受信者の注意力や警戒心を逆手に取る手口です。
- 1通目に分かりやすい不審メールが届く
- その後、「不審メールに注意してください」というメールが届く
- 調査、確認、注意喚起、報告などを理由にリンクを開かせる
- リンク先でID、パスワード、認証コード、個人情報などを入力させる
- 会社やサービスの正式な案内に見えるように装う
重要なのは、「注意喚起を装っているから安全」と考えないことです。注意喚起メールそのものが偽物である可能性もあります。
今回確認する公式情報
この記事では、以下の公式情報を確認対象にします。
フィッシングの手口は変化が早いため、この記事の内容だけで判断せず、警察庁、警視庁、フィッシング対策協議会、利用しているサービスの公式サイトもあわせて確認してください。
1通目を見破った後でも注意が必要な理由
不審メールを見破ると、「自分はだまされなかった」という安心感が出ます。その直後に、注意喚起や調査依頼を装ったメールが届くと、つい本物だと思ってしまうことがあります。
二段階式フィッシングメールでは、この心理が狙われます。2通目のメールは、1通目よりも自然な文章、もっともらしい件名、会社やサービスの案内に見える構成で届く場合があります。
- 「先ほど不審メールが送信されました」と書かれている
- 「影響確認のためログインしてください」と誘導する
- 「調査フォームに回答してください」と案内する
- 「添付資料を確認してください」とファイルを開かせる
- 「このメールは注意喚起です」と安心させる
本物の注意喚起に見えても、メール内リンク、添付ファイル、返信先、記載された電話番号をそのまま信用しないことが重要です。
届いたメール内のリンクから確認しない
二段階式フィッシングメールで最も避けたいのは、メール内のリンクから確認することです。メール本文にあるリンクは、本物のように見えても、偽サイトへつながる可能性があります。
リンク先の見た目が本物に似ていても、ID、パスワード、認証コード、クレジットカード情報、ネットバンキング情報、会社のアカウント情報を入力してはいけません。
- メール内の「確認する」ボタンを押さない
- メール内のURLをクリックしない
- 短縮URLを開かない
- 添付ファイルを開かない
- メールに記載された電話番号へすぐ電話しない
- メールに返信して確認しない
確認が必要な場合は、メール内のリンクではなく、普段から使っている公式サイトのブックマーク、公式アプリ、既知の連絡先、社内の正規窓口から確認します。
本物か確認する時の安全な確認先
メールが本物か確認したい場合は、メール本文に書かれた情報ではなく、別経路で確認します。
- 公式サイトをブックマークから開く
- 公式アプリから通知やメッセージを確認する
- 契約書や過去の正式書類に記載された連絡先を見る
- 会社の情報システム部門や管理者に確認する
- 金融機関やサービス事業者の公式窓口に確認する
- 警察庁やフィッシング対策協議会の情報を確認する
検索結果から公式サイトを探す場合も、広告枠や偽サイトに注意が必要です。できれば、普段から利用している公式アプリ、ブックマーク、契約書類など、信頼できる経路を使ってください。
会社PC・業務メールで届いた時の確認ポイント
会社PCや業務メールに二段階式フィッシングメールが届いた場合は、個人判断でリンクを開いたり、添付ファイルを確認したりしない方が安全です。
特に、社内の注意喚起、管理者からの確認依頼、取引先からの調査依頼、セキュリティ部門を名乗るメールは、本物に見えやすい場合があります。
- メール内リンクを開く前に社内管理者へ確認する
- 添付ファイルを開かず、管理者へ報告する
- 社内の正規チャットや電話番号で確認する
- メールの転送ルールや自動処理を勝手に設定しない
- 業務アカウントのID、パスワード、認証コードを入力しない
- ネットバンキングや決済システムの確認は担当部署に回す
業務メールでは、1人の判断ミスが社内アカウント、取引先情報、ネットバンキング、決済、顧客情報に影響することがあります。少しでも迷う場合は、管理者や情報システム担当者に確認してください。
ネットバンキング・決済・アカウント確認メールで注意すること
銀行、クレジットカード、決済サービス、ECサイト、Microsoftアカウント、Googleアカウントなどを名乗るメールでは、アカウント確認や不正利用確認を理由に、ログインや本人確認を求めることがあります。
本当に不正利用が心配な場合でも、メール内リンクからではなく、公式アプリやブックマーク済みの公式サイトから確認します。
- ネットバンキングのIDやパスワードを入力しない
- ワンタイムパスワードや認証コードを入力しない
- クレジットカード番号やセキュリティコードを入力しない
- 本人確認書類の画像をアップロードしない
- 「確認しないと停止」といった急がせる表現に注意する
- 不安な場合は公式窓口へ別経路で問い合わせる
金融機関や決済サービスの確認は、焦って操作しないことが重要です。急がせる内容ほど、一度画面を閉じ、別経路で確認してください。
フィッシングと思った時の報告・相談先
フィッシングと思われるメールやSMSを受け取った場合は、必要に応じて公的機関や関係団体の案内を確認します。
すでにID、パスワード、カード情報、認証コードなどを入力してしまった場合は、利用しているサービスの公式窓口へ連絡し、必要に応じてパスワード変更、カード停止、金融機関への相談、警察への相談を検討してください。
やらない方がよいこと
二段階式フィッシングメールが疑われる時は、次の対応を避けてください。
- メール内リンクからログインする
- メール内の電話番号へすぐ電話する
- 添付ファイルを開く
- 詐欺かどうか確かめるために偽サイトへアクセスする
- 本文やURLをSNSにそのまま投稿する
- 会社PCで自己判断のまま確認作業を進める
- 不明なセキュリティ診断ツールや修復ツールを入れる
- 不安をあおる広告や非公式サポートへ相談する
詐欺メールを調べようとして、逆に偽サイトへアクセスしたり、危険な添付ファイルを開いたりすると被害につながる可能性があります。確認は、公式サイト、公式アプリ、既知の連絡先、社内管理者を経由してください。
家庭で確認する場合のチェックリスト
個人のメールアドレスに不審な注意喚起メールが届いた場合は、次の順で確認します。
- メール内リンクを開かない
- 添付ファイルを開かない
- 差出人名だけで判断しない
- 公式アプリやブックマーク済み公式サイトから確認する
- アカウントの通知欄やメッセージ欄を確認する
- 必要に応じて公式窓口へ問い合わせる
- 不審メールは削除または迷惑メールとして扱う
- 入力してしまった場合は、すぐパスワード変更やカード停止を検討する
メールを見て不安になった場合でも、メール内の案内通りに動かないことが重要です。別経路で確認するだけでも、被害を避けやすくなります。
関連して確認したい記事
偽警告、本人確認、アカウント保護に関する内容では、次の記事もあわせて確認できます。
- パソコンで「ウイルス感染しました」と警告音が出た時の確認ポイント|電話しない・画面を閉じる・再起動後に見ること
- MicrosoftアカウントでSMSコードが使えなくなる前に確認したいこと|パスキー・Authenticator・予備メールを整理
- Windows 11でログイン画面から進めない時の確認ポイント|パスワード入力欄の点滅・PINループを整理
まとめ:1通目を見破っても、2通目を信用しない
二段階式フィッシングメールでは、最初の不審メールを見破った人に対して、次に届く偽の注意喚起メールで信用させようとする場合があります。
「注意喚起」「調査」「確認」「不正アクセス対策」と書かれていても、メール内リンク、添付ファイル、記載された電話番号をそのまま信用しないでください。確認する時は、公式サイト、公式アプリ、既知の連絡先、社内管理者など、メールとは別の経路を使います。
1通目を見破ったから安全なのではなく、2通目で油断しないことが重要です。迷った時は、メール内の案内に従わず、いったん操作を止めて公式窓口や管理者に確認してください。
