警視庁が警告した「二段階式フィッシング」── 1通目を見破った成功体験を踏み台にする心理戦

警視庁サイバー部門 (@MPD_cybersec) が、2026年6月15日に「二段階式フィッシングメール」への警戒を呼びかけた。一見粗雑な「捨て駒」と、それを見破った直後に届く「本命」をセットで撃つ手口で、防御訓練を受けたユーザーほど刺さる構造になっている。

1通目で警戒を発動させ、2通目で「確認」を装う #

報告された手口は二段構成だ。まず攻撃者は「本人」を名乗る不審なメールを送りつける。文面はあえて稚拙で、警戒している人なら容易に見破れる。受信者が「フィッシングだ」と気づき自分の判断力に安心したところへ、間を置かず2通目が届く。

2通目は「システム全体」を名乗り、「不審なメールが届いているはずです。受信状況を調査するため返信をお願いします」と対応を求める。1通目を見破った直後の成功体験が、2通目を確認の連絡として受け入れさせる踏み台に変わる。

攻撃者が買っているのは「awareness training の副作用」 #

セキュリティ屋から見ると、これは典型的な陽動戦術の応用だ。1通目はクリックさせるためではなく、「警戒発動 → 自己満足 → 警戒解除」という心理サイクルを通過させるための仕掛けにすぎない。終わったと思わせた瞬間に防御が薄くなる、というのは APT 系の標的型でも昔から多用されてきた構造である。

加えてこの手口は、防御訓練を受けた組織ほど刺さりやすい。「明らかに変なメール = 引っかからない」という回路を熱心に作り込んできた組織は、その回路が反応した直後に来る2通目を訓練の延長戦 (報告フロー・調査依頼) と誤認しやすい。社内で広報的に送ったフィッシング演習メールの直後を狙う派生型も想定しておきたい。

防御は「直前 1〜2 通の関連メールと束で見る」 #

警視庁は URL を踏まない・別経路で発信元確認・電話で正規性確認、という古典的対策を提示している。これに加えて、この攻撃に対しては「短時間で来た一連のメールを一塊として疑う」運用が要る。単一メール単位で OK/NG を判定せず、差出人名のスイッチ (本人 → システム全体 のように発信源が切り替わるパターン) があれば、それ自体を指紋として扱うのが妥当だ。Microsoft 365 や Google Workspace の検疫レポートでも、同一受信者宛の短時間バーストを束ねて見る運用に切り替えるのが、現実的な防御策になる。