>
>
最終更新日
近年、企業のロゴや名称を巧妙に模倣して顧客の重要情報を騙し取る「フィッシング詐欺」、とりわけSMSを悪用したその一形態である「スミッシング」の被害が後を絶ちません。本記事では、携帯電話番号だけで手軽に利用できる「SMSとは何か」という基本をおさらいし、なぜSMSが攻撃者の標的になりやすいのかを初心者向けにわかりやすく紐解きます。また、2025〜2026年に急増している最新トレンドや、野村證券やJR東日本をはじめとする国内企業の具体的な防衛策を丁寧に解説します。
本記事のポイント:
フィッシング詐欺とは、実在する企業を偽り、カード情報やパスワードなどを不正に詐取する極めて危険なサイバー犯罪です。
SMS(ショートメッセージ)は「開封率・即時性」が高い一方で、なりすましによる「スミッシング」の温床になりやすい特徴を持っています。
2025〜2026年の最新トレンドとして、DMARCを回避する「独自ドメイン悪用」や、前年比900%増となった「有料道路(ETC)詐欺」が猛威を振るっています。
企業が講じるべき決定的なセキュリティ対策は「DMARC/BIMI」の適用と、SMSにおける「0005共通番号(共通ショートコード)」の採用です。
フィッシング詐欺とは
フィッシング詐欺とは、実在する企業や官公庁などを装い、電子メールやメッセージを通じて本物そっくりの偽サイトへ誘導し、クレジットカード情報やパスワードなどの重要情報を不正に取得するサイバー犯罪の一種です。
SMS(ショートメッセージ)とは?わかりやすく解説
SMS(ショートメッセージ)とは、携帯電話の番号だけで短いテキストメッセージを送受信できる機能です。メールアドレスを設定する必要がなく、標準アプリとしてスマートフォンにあらかじめ搭載されているため、誰でも手軽に使えるのが特徴です。文字数は一般的に全角最大70文字(一部キャリアでは最大670文字)と制限されていますが(NTTドコモ公式仕様参照)、リアルタイムに相手に届くという高い即時性を持っています。
なぜSMSがフィッシング詐欺(スミッシング)に悪用されるのか?
近年、このSMSを悪用したフィッシング詐欺(=スミッシング)が急増しています。詐欺師がSMSを好んで使う最大の理由は、その「圧倒的な開封率」にあります。Klaviyoの2026年ベンチマーク調査によると、電子メールに比べてSMS内のURLリンクがクリックされる割合は約8.9%〜14.5%と非常に高い数値を示しています。携帯電話番号宛てに直接届くため、電子メールのように迷惑メールフォルダへ自動振り分けされにくく、画面上にポップアップ通知として直接表示されることから、受信者が警戒を怠りやすいという心理的な隙が狙われているのです。
フィッシング詐欺の手口と2025-2026年最新トレンド
現代のフィッシング詐欺は、従来のメールだけでなく、SMSやSNSを巧みに使い分けることでセキュリティフィルターを技術的にすり抜ける手口へと進化しています。
1. メールフィッシング(DMARC通過を狙う独自ドメイン悪用が急増)
信頼できる企業を装い偽メールを送りつける定番の手口です。送信ドメイン認証「DMARC」の導入が進んだことで、なりすましメールは一定数防げるようになりましたが、2025年末〜2026年にかけては、攻撃者が「自ら独自ドメインを取得し、あえてDMARC認証を正しく通過させて迷惑メールフィルターを回避する」という手口が急増しています。フィッシング対策協議会の公式統計によると、2025年12月にはこの独自ドメイン悪用が全体の約75.3%を占めるに至っています。特定の組織を狙ったスピアフィッシングも多発しています。
2. SMSフィッシング(スミッシング)と有料道路詐欺の爆発的流行
携帯電話宛てのSMSを使い、「重要なお知らせ」「配送物の不在通知」などを騙ってリンクを開かせる手口です。フィッシング対策協議会によると、2025年の日本国内におけるフィッシング報告件数は約245万件(前年比約1.43倍)となり、過去最多を大きく更新しました。5年前(2020年)と比較すると約10倍以上に激増しています。特に2025年には「有料道路の未払い通行料を請求するSMS(ETCなりすまし詐欺)」が複数のセキュリティ機関により爆発的な増加として報告されており、身近な社会インフラを装うスミッシングが深刻化しています。
3. ウェブサイトフィッシング(偽ログイン画面への誘導)
メールやSMSのリンクから、本物と寸分違わぬブランドロゴやデザインで作られた偽のウェブサイトへと誘導します。URLが正規のものと1文字だけ異なるなど非常に精巧で、視認だけで偽物と判別するのは困難を極めます。2025年には、国内証券会社を狙ったフィッシング攻撃によるインターネットバンキング・証券取引の不正取引被害額が約7,393億円規模に達したと金融庁が公表しており、深刻な社会問題となっています。
4. ソーシャルメディアフィッシング(アカウント乗っ取り)
SNSのダイレクトメッセージ(DM)等を通じて、知人を乗っ取ったアカウントから、特定のターゲットを騙して偽サイトへ誘導する手口です。関係性の近さを利用するため心理的防壁が崩されやすいという特徴を持っています。
企業におけるフィッシング詐欺対策:送信者としての最新アプローチ
顧客と自社ブランドをフィッシングの脅威から守るためには、企業が「送信者側」として明確なセキュリティ対策の仕組みを導入し、自社が本物であることを証明し続ける必要があります。
送信者側としての必須対策:DMARC/BIMI(メール)と 0005共通番号(SMS)
メールにおいては、送信ドメイン認証「DMARC」の設定および、認証された本物のメールに公式ロゴを強制表示させる「BIMI(Brand Indicators for Message Identification)」の導入が有力な手段です。一方、SMSにおいては、国内主要携帯キャリア4社(NTTドコモ、KDDI、ソフトバンク、楽天モバイル)が2025年7月に共同開設した「SMS共通番号/共通ショートコード情報サイト」を活用する動きが広がっています。企業の公式SMSの送信元表示を「0005」から始まるキャリア審査を通過した共通番号(共通ショートコード)に統一することで、ユーザーが公式ポータル上で番号が本物かどうかを直接検索・確認できるようになります。
国内企業における「0005共通番号」の具体的導入事例
偽メッセージとの明確な差別化を図るため、信頼性の高い0005から始まる共通番号を導入している国内企業の事例をまとめました。
企業名 | 業界 | 共通番号の導入・活用方法 | 導入効果 |
|---|---|---|---|
野村證券株式会社 | 金融(証券) | 顧客宛てに送信するすべての連絡用SMSの送信元に共通番号(例:0005-860400等)を導入。公式サイト等で本物であることを常時周知。 | 偽SMSとの差別化を実現し、顧客が「これ以外の番号から野村證券を騙って届いたSMSはすべて偽物」と容易に判別可能な体制を確立。 |
東日本旅客鉄道株式会社(JR東日本) | 運輸・旅行 | 各種会員サービス(JRE POINT等)や緊急案内等の通知送信用に、キャリア公認の「0005」共通ショートコードを正式導入。 | ブランドのなりすましメールや偽SMSと自社が送信する正規メッセージの混同を防止し、顧客のセキュリティ不安を解消。 |
その他の大手企業・法人 | 金融・教育 | アコム株式会社や学校法人日本財団ドワンゴ学園などが、厳格なキャリア審査を経て共通番号を順次導入中。 | 顧客への到達率を向上させながら、フィッシング詐欺の被害発生リスクを根本から低減する信頼の基盤を構築。 |
▲ 0005共通番号を活用した受信SMSの安全性検証フロー
正規のSMS配信における失敗パターンと回避策
企業が顧客への正規の連絡手段としてSMSを配信する場合、その「送信方法」を一つ誤るだけで、顧客にフィッシング詐欺と疑われてしまうか、あるいは逆に詐欺サイトへの誘導を助長してしまうリスクがあります。
失敗パターン:正規配信のSMSで「短縮URL」を使用するリスク
SMSの限られた文字数(最大70文字など)にURLを収めるため、外部の短縮URLサービスを不用意に使ってしまうことは非常に危険な「失敗パターン」です。短縮URLは実際のアクセス先(ドメイン)がマスクされて不透明になるため、フィッシングサイトが用いる手口と外見上まったく見分けがつきません。セキュリティ意識の高い顧客であればあるほどクリックを回避するようになり、配信効果が激減します。正規の配信であっても、短縮URLの使用は原則として避け、自社の公式ドメインを省略せずにしっかりと記載するか、あるいは「SMSには一切のリンクを記載せず、公式アプリや検索からサイトへ流入させる」という厳格な運用ルールを徹底してください。
よくある誤解:「自社はSMSを配信していないから対策不要」という盲点
「自社はマーケティングや通知でSMSを一切使っていないから、スミッシング対策は考える必要がない」と考えるのは大きな誤解です。詐欺グループは、企業がSMSを実際に配信しているかどうかにかかわらず、その企業名を騙って偽のSMSを顧客に向けて大量送信します。SMSを配信していない企業こそ、公式サイトの目立つ部分に「弊社はSMSを用いたURLのご案内は一切行っておりません。不審なメッセージにはご注意ください」と明確なアナウンスを常時掲示し、顧客が騙されないための予防線を張っておく義務があります。
▲ 正規SMS配信における「失敗パターン」と「推奨パターン」の比較
企業(受信者・組織全体)が講じるべき基本的な防衛策
企業が組織内に怪しいメッセージを受け取った受信者(従業員)としての立場から、被害を最小限に防ぐためには、技術と教育を両輪とした防衛策を徹底することが、組織防衛の現実的な出発点となります。
従業員への徹底した教育と標的型訓練
従業員のITリテラシーを高めることが最初の防衛壁となります。不審な電子メールやSMSを見分けるための基本的な知識、攻撃が疑われるメールを受信した際の社内報告手順などを盛り込んだ定期研修や、実際に偽メールを社内に送信して対応をチェックする「標的型メール訓練」の実施が有効です。
多要素認証(MFA)の義務化とフィルタリング
万が一、従業員がフィッシングサイトにログイン情報を入力してしまい、IDとパスワードが漏洩してしまった場合でも、ログイン時に物理キーやスマートフォンアプリでの承認を求める「多要素認証(MFA)」が設定されていれば、第三者による即時の不正アクセスを阻止できます。社内で導入するSaaSやシステムにおける多要素認証の強制化など、組織としての包括的なセキュリティ対策を強化しましょう。
脅威インテリジェンスの収集と対応計画(CSIRTの構築)
セキュリティインシデントに即時対応する専門チーム(CSIRTなど)の役割を明確にし、インシデント対応計画をあらかじめ策定しておきます。最新の攻撃トレンドをいち早く把握し、自社のインフラや運用に反映させる「脅威インテリジェンス」の仕組みを定着させることが重要です。なお、社内にCSIRTを設置するリソースが乏しい中小企業の場合は、外部SOC(セキュリティオペレーションセンター)サービスの活用も現実的な選択肢となります。
企業がフィッシング詐欺にあった場合の対処法
どれほど万全な対策を講じていても、フィッシング詐欺(なりすまし・騙されたケース)が発生するリスクをゼロにすることはできません。被害を検知した際は、事態を悪化させないための迅速かつ正確な初期行動が最も重要です。
1. 直ちに関係者・社内IT部門への報告
フィッシングメールのURLをクリックして情報を入力してしまった可能性がある場合、あるいは自社を装う偽SMSを検知した場合は、一刻も早く社内の情報システム担当者やセキュリティ部門にエスカレーションします。情報を隠蔽しようとすることが被害を急拡大させる最大の原因となります。
2. 被害範囲の特定とシステム隔離
漏洩したパスワード等の変更を即座に行うとともに、乗っ取られたアカウントの強制ログアウト、および該当するデバイスやサーバーを物理的・論理的に社内ネットワークから切断し、マルウェアの感染拡大やさらなる情報漏洩を防ぎます。
3. 関係機関への迅速な報告・通報
なりすましによる金銭的実被害や大規模な個人情報の漏洩が疑われる場合は、個人情報保護委員会への報告義務が生じる可能性があります。また、フィッシング対策協議会、警察庁のサイバー犯罪窓口、消費者庁などの専門機関へ速やかに通報を行い、証拠(メールヘッダーや偽サイトのURL、スクリーンショット等)を保全して提出します。
4. 顧客への注意喚起と事後分析
自社がなりすまされた場合は、公式サイトや公式SNSを通じて「自社を騙る不審なメール・SMSが送信されているため、リンクを開かないように」と顧客に迅速に情報提供し注意喚起を行います。その後、事故の原因を徹底的に分析し、セキュリティ体制の脆弱な部分を補強して再発防止策を整備します。
▲ フィッシング被害(またはその疑い)を検知した際の初期対応3ステップ
よくある質問
Q:自社がSMSを一切配信していなくてもスミッシング対策は必要ですか?
A:はい、必要です。攻撃者は貴社がSMSを利用しているかどうかにかかわらず、勝手に名前を騙って不特定多数に偽メッセージを送ります。公式サイトに「弊社からSMSを使ったご案内は行っていません」といった注意喚起を常掲することが、顧客を守るために有効な対策です。
Q:0005から始まる共通番号とは何ですか?
A:国内主要キャリア4社が審査を通過した信頼できる企業に対してのみ発行する「キャリア共通番号(共通ショートコード)」です。ユーザーが公式サイト上で検索して送信元が本物の企業かを直接確認できるため、企業のなりすまし防止に有力な手段となります。
Q:短縮URLを正規のSMSで使ってはいけない理由は何ですか?
A:短縮URLは遷移先の実際のドメインが目視で判断できないため、フィッシングサイトへ誘導する詐欺師の手口と外見上区別がつかなくなるからです。セキュリティへの警戒を高めているユーザーがクリックしなくなるだけでなく、自社メッセージの信頼性を下げてしまいます。
Q:中小企業でも0005から始まる共通番号(共通ショートコード)は取得できますか?
A:はい、企業規模を問わず取得申請は可能です。ただし、各キャリアによる審査があり、利用目的・送信内容・運用体制などが確認されます。また、番号取得には初期費用および月額費用が発生するため、SMS配信量が少ない小規模事業者にとってはコスト面の検討が必要です。まずは各キャリアまたはSMS配信事業者の公式窓口に問い合わせることをお勧めします。
まとめ
フィッシング詐欺(スミッシング)は技術的な精巧さを増しており、かつてのような「日本語の不自然さ」で見分ける時代は終わりました。特に2025〜2026年は、DMARC認証を正しく通過する独自ドメインの悪用や、ETCなりすましを模したSMS詐欺などが急増しています。企業は自社を守る「受信者としてのセキュリティ教育・多要素認証(MFA)」の徹底に加え、自社の顧客を守る「送信者としての0005共通番号やDMARC認証」の導入が求められます。被害を未然に防ぎ、自社ブランドの信頼性を保つために、まずは自社サイトへの注意喚起掲載と、SMS配信時の短縮URL使用禁止ルールの確認から着手してください。
✅ 公式サイトにSMS利用状況の注意喚起を掲載した
✅ DMARC設定を確認・強化した
✅ 社内MFAの適用範囲を棚卸しした
✅ 標的型メール訓練を年1回以上計画した
✅ SMS配信で短縮URLを使用していないか確認した
本記事の内容に誤り等がございましたら、こちらからご連絡ください。
監修
Admina Team
情シス業務に関するお役立ち情報をマネーフォワード Adminaが提供します。
SaaS・アカウント・デバイスの管理を自動化し、IT資産の可視化とセキュリティ統制を実現。
従業員の入退社対応や棚卸し作業の工数を削減し、情報システム部門の運用負荷を大幅に軽減します。
中小企業から大企業まで、情シス・管理部門・経営層のすべてに頼れるIT管理プラットフォームです。
