読めば身に付くネットリテラシー

「怪しいメールを見破った人」がだまされる、社内注意喚起を装う「二段階式フィッシングメール」に注意!

詐欺メールを見破った直後に、調査依頼メールが届きます(AIで生成したイメージ画像です)

 月曜の朝、経理担当のAさんのメールボックスに、「【重要】通勤手当申請」というメールが届きました。送信者名は「本社会計係」。しかし、文章はどこか不自然で、リンク先のURLも、普段使っている社内システムとは違うように見えます。Aさんは「これはフィッシング詐欺だ」と気付き、クリックせずに閉じました。

 数分後、今度は「本社システム担当」を名乗るメールが届きます。「社内で不審なメールが確認されています。受信状況を調査するため、こちらから回答してください」。Aさんは、先ほどの怪しいメールを思い出しました。「やっぱり社内でも問題になっているのか。報告しなければ」と考え、そのメールに記載されているURLからリンク先を開き、表示されたログイン画面にメールアドレスとパスワードを入力しました。

 じつはこれは、2通のメールを組み合わせてだますフィッシング詐欺の手口なのです。「二段階式フィッシングメール」と呼ばれており、1通目でわざと不審なメールを送り、受信者に「自分は見破った」と思わせます。そして2通目で、社内の注意喚起や調査を装い、偽サイトへ誘導するのです。警視庁でも、1通目が「本社会計係」の通勤手当申請、2通目が「本社システム担当」の不審メール調査という流れの二段階式フィッシングメールの事例を挙げて注意を呼び掛けています。

 この手口は、ITに詳しくない人だけを狙うものではありません。むしろ、怪しいメールに気付き、社内に報告しようとする人ほど引っかかる可能性があります。「危ないメールを見つけた」という緊張感と、「早く報告しなければ」という責任感をうまく利用しているのです。

怪しいメールのリンクは開かないことはもちろん、報告や確認は普段から決められた経路で行うことを徹底することで、フィッシング詐欺が入り込める余地をなくし、新手の手口が登場しても被害を受けにくくできます。

警視庁が「二段階式フィッシングメール」について注意喚起しています(同庁のXアカウントより)

 二段階式フィッシングメールへの対策の基本は、「不審メールのあとに届く注意喚起メールは疑う」ことです。不審なメールが届いた場合、当然ながら、本文中のURLやボタンは開かないでください。さらに、2通目で「報告してください」「調査に協力してください」「アカウント確認が必要です」と言ってきても、そこにあるリンクを開いてはいけません。送信者名が社内担当者のように見えても、表示名は攻撃者が自由に変えられます。メールアドレスも似せられるため、見た目だけで判断してはいけません。

 報告や確認は、別の経路で行いましょう。社内ポータルやブックマーク済みの社内システム、Microsoft TeamsやSlackなど、会社で普段から決められている連絡先や・電話番号など、メール本文とは別の手段を使うことが重要です。

 銀行や取引先から連絡があった場合も、メールで示されたリンク先や電話番号に連絡するのではなく、公式サイトや契約書に記載された代表番号などから確認してください。

 なお、会社側も、従業員の注意力に頼るだけでは限界があります。まず、不審メールを見つけたときの報告先を一本化しておきましょう。社内ポータルの目立つ場所に「不審メール報告」の窓口を置く、Microsoft TeamsやSlackに報告フォームを用意するなど、普段から確認できる場所に固定します。注意喚起を出す場合も、「報告は社内ポータルのセキュリティ窓口から」といった案内に統一しておけば、従業員が迷いにくくなります。

 フィッシング詐欺メールは、「怪しい1通」を見破れば終わりではありません。攻撃者は、その次に受信者がどう動くかまで読んでいます。怪しいメールのリンクは開かないことはもちろん、報告や確認は普段から決められた経路で行うことを徹底することで、フィッシング詐欺が入り込める余地をなくし、新手の手口が登場しても被害を受けにくくできます。

企業もフィッシング詐欺に狙われている! 不正送金などの被害にも発展

 フィッシング詐欺で狙われているのは、個人だけに限りません。今回取り上げた「二段階式フィッシングメール」の事例のように、企業もフィッシング詐欺に狙われています。

 企業では、社内システムやメール、クラウドサービスのアカウントを奪われることが大きな問題になっています。メールボックスに侵入されると、取引先とのやり取りや請求書、契約書、社員名簿、顧客情報などを読まれてしまいます。そのうえで、本物の取引のタイミングに合わせて偽の振込先を送る「ビジネスメール詐欺」に発展することもあります。

 IPAの「情報セキュリティ10大脅威 2026」でも、このビジネスメール詐欺の準備段階として、フィッシングや不正ログインで従業員の氏名・メールアドレス、取引に関わるメールのやり取りなどを盗む手口が紹介されています。取引先担当者のアカウントが乗っ取られ、正規のメールアドレスから送られた虚偽の支払依頼に応じて、1000万円以上の損失が出た事件も起きています。

 法人口座を狙う被害も深刻です。警察庁の報告書によると、2025年のインターネットバンキングに関する不正送金事犯は4747件、被害総額は約103億9700万円で、フィッシング詐欺が手口の約9割を占めています。企業の場合、1件あたりの送金額が大きくなりやすく、経理担当者のアカウントを奪われて一気に大きな被害になる可能性も高いのです。

高齢者のデジタルリテラシー向上を支援するNPO法人です。媒体への寄稿をはじめ高齢者向けの施設や団体への情報提供、講演などを行っています。もし活動に興味を持っていただけたり、協力していただけそうな方は、「dlisjapan@gmail.com」までご連絡いただければ、最新情報をお送りするようにします。