警視庁サイバー攻撃対策センターは2026年6月12日、メール受信者の注意力を逆手に取った「二段階式フィッシングメール」と呼ばれる新たな詐欺手法について注意を呼びかけました。

この件に関する詳細は、同庁のサイバー関連情報を発信する公式X（旧Twitter）アカウントの、警視庁サイバー（@MPD_cybersec）のポストより確認することができます。注意喚起のポストを投稿し、急速に拡散する新手の手口に対して広く警戒を促しています。

これまでのフィッシングメールは、1通のメール内で完結するものが一般的でしたが、今回の手法は時間差で届く複数のメールが連動し、人間の心理的な隙を生み出す点が特徴です。日頃からセキュリティ意識を高く持っている人ほど陥りやすい、巧妙な盲点となっています。

このフィッシングメールは、受信者が持つ「不審なメールを警戒しよう」という注意力を巧みに逆手に取る手口です。具体的な攻撃は、主に以下のような二段階のステップで行われます。

• 第一段階（あえて見破りやすい不審メール）：攻撃者はまず、文章が不自然だったり、一目で偽物だと分かるような稚拙な迷惑メールを送信します。これを受け取った従業員は「これはフィッシング詐欺だな」と容易に見破り、警戒を高めるか無視をします。
• 第二段階（信頼性を装った偽の注意喚起）：その後、間髪を入れずに自社のシステム部門やセキュリティ担当者を装った2通目のメールが届きます。内容は「現在、社内で不審なメール（1通目のこと）の受信が確認されています。至急、以下のリンクからセキュリティ調査およびアカウントの確認を行ってください」というものです。

受信者は「さっき届いた怪しいメールのことか、会社が迅速に対応してくれたのだ」と思い込み、2通目のメールを本物だと信じて疑わなくなります。その結果、注意喚起を装った偽サイトのURLリンクを自らクリックし、認証情報や社内ネットワークへのアクセス権（アカウント情報やパスワードなど）を窃取されてしまうのです。

警視庁は現時点で、特定の標的とされている企業や業種、具体的な被害状況の詳細な統計データは追加公開していませんが、この手口の本質は技術的な防御をすり抜ける「心理的な罠（ソーシャルエンジニアリング）」にあります。システムの防御壁をいくら高くしても、人間が自ら鍵を開けてしまえば意味をなしません。

警視庁が新たなフィッシング手法として「二段階式」を明文化し、公式に注意喚起を行ったことは、サイバー犯罪の手口がより高度な心理戦へとシフトしている事実を示しています。1通目の不審メールそのものが、2通目の本命トラップを信じ込ませるための巧妙な「伏線」として機能している点が非常に厄慢です。

現時点では、この手法による具体的な被害報告の件数や、標的とされている業界の偏りなどは公表されていません。しかし、この手口は組織全体のメール運用ルールや、従業員個人の防犯リテラシーの隙を直接突いてくるものであるため、すべての企業において早期の周知と対策のアップデートが急務となっています。