>
>
最終更新日
2025/11/11
スマートフォンに届く宅配便の不在通知や、アカウントの異常を知らせるSMSに心当たりはありませんか。それはスミッシングと呼ばれる、個人情報や金銭を狙った巧妙な詐欺かもしれません。
スミッシングの手口は年々悪質かつ巧妙になっており、偽物と見抜くのが難しいケースが増えています。この記事では、スミッシングの基本から最新の手口、そして今日から実践できる効果的な対策まで具体的に解説します。
スミッシングとは
スミッシングとは、SMS(ショートメッセージサービス)を悪用したフィッシング詐欺を指す造語です。SMSを使って偽のウェブサイトへ誘導し、IDやパスワード、クレジットカード情報といった重要な個人情報を盗み出すサイバー攻撃の一種です。攻撃者は、私たちの生活に身近なサービスになりすまし、巧みな文章で不安や好奇心を煽り、不正なURLをクリックさせようとします。
スミッシングの目的
スミッシングの目的は、受信者を騙して不正なウェブサイトにアクセスさせ、そこでオンラインサービスのログイン情報、氏名、住所、クレジットカード番号といった機密情報を入力させて盗み取ることです。盗まれた情報は、不正送金やなりすまし犯罪、ダークウェブでの売買などに悪用され、深刻な金銭被害やプライバシー侵害につながる危険があります。
フィッシングやビッシングとの違い
フィッシングは、主に電子メールを悪用して偽サイトへ誘導する手口です。一方で、ビッシングは、電話の音声(ボイス)を利用した詐欺を指します。攻撃経路がSMSであるものがスミッシング、電子メールならフィッシング、電話音声ならビッシングと区別されます。特にスミッシングは、スマートフォンの通知画面に直接表示されるため、警戒心なく開かれやすいという特徴があります。
スミッシングの最新手口
スミッシングの手口は常に変化しています。手口を知っておくことが、被害を未然に防ぐ第一歩です。
宅配業者を装う不在通知
「お荷物のお届けにあがりましたが不在の為持ち帰りました。下記よりご確認ください」という文面は、広く使われている手口の一つです。URLをクリックすると、本物そっくりの偽サイトに誘導され、再配達依頼のために個人情報や認証コードの入力を求められます。最近では、不正なアプリのインストールを促すケースも増えており、一度インストールすると端末内の情報が盗まれる可能性があります。
金融機関やECサイトからの偽の警告
「お客様のアカウントに異常なログインが検知されました」「セキュリティ強化のため、再認証をお願いします」といった緊急性を煽る内容も典型例です。利用中の銀行やAmazon、楽天市場などの有名サービスを騙り、偽のログインページへ誘導します。本物と見分けがつかないほど精巧に作られたサイトも多く、IDとパスワードを入力してしまうと、アカウントが乗っ取られ、不正利用される危険があります。
公共料金や税金の未納通知
電力会社、ガス会社、水道局、あるいは国税庁などを装い、「料金が未納です。至急ご確認ください」「税金の還付金手続きはこちら」といったSMSを送る手口も増加しています。公的機関からの通知という信頼性を悪用し、偽の支払いサイトや手続きサイトへ誘導します。特に支払い督促の形をとる場合、慌ててURLにアクセスしてしまいがちなので冷静な判断が求められます。
携帯電話会社を装った要求
「ご利用料金が高額になっています」「アカウント情報が古いため、更新が必要です」など、契約している携帯電話会社を装うケースです。普段から利用しているサービスからの連絡であるため、疑うことなくURLをクリックしてしまう心理を巧みに利用します。誘導先のサイトでキャリア決済の情報やdアカウント、au IDなどの認証情報を入力すると、勝手に高額なサービスに登録されるなどの被害に遭います。
スミッシングが引き起こす深刻な被害
もしスミッシングの罠にかかってしまった場合、具体的にどのような被害が発生するのでしょうか。ここでは、スミッシングが引き起こす深刻な被害について解説します。
個人情報や認証情報の窃取
偽サイトに入力してしまった氏名、住所、電話番号などの個人情報は、他の犯罪に悪用される可能性があります。また、各種サービスのIDとパスワードが盗まれると、SNSアカウントの乗っ取りや、登録されている個人情報のさらなる流出につながります。これらの情報は、犯罪者の間で売買されることもあり、二次被害、三次被害へと発展する可能性もあり、注意が必要です。
金銭的な被害や不正決済
クレジットカード情報や銀行口座情報が盗まれた場合、直接的な金銭被害が発生します。身に覚えのない高額な請求がきたり、預金が不正に引き出されたりする被害が後を絶ちません。また、キャリア決済の認証情報が盗まれ、オンラインゲームのアイテム購入やデジタルコンテンツの購入に悪用されるケースも多く報告されています。
マルウェアへの感染
スミッシングSMSのリンク先には、不正なアプリやマルウェア(ウイルス)をダウンロードさせることを目的としたものもあります。特にAndroid端末は、公式サイト以外からもアプリをインストールできるため標的にされやすい傾向があります。マルウェアに感染すると、スマートフォンが遠隔操作されたり、連絡先や写真などのデータがすべて抜き取られたり、盗聴や盗撮の被害に遭う可能性があります。
スミッシングの被害を防ぐための対策
巧妙化するスミッシングから身を守るためには、日頃からの対策が不可欠です。
URLを直接クリックしない
SMSに記載されたURLに知っている企業名やサービス名が含まれていても、すぐにクリックしてはいけません。メッセージの内容が気になる場合は、SMS内のリンクからではなく、事前にブックマークしておいた公式サイトや公式アプリから情報を確認する習慣をつけましょう。
送信元の情報を鵜呑みにしない
SMSの送信元に表示される電話番号や名称は、偽装されている可能性があります。「大手キャリアからの通知だから安心」といった思い込みは危険です。少しでも怪しいと感じたら、そのメッセージは無視するか、送信元の企業の公式問い合わせ窓口に直接電話などで確認することが大切です。
公式アプリやブックマークを利用する
宅配便の配送状況の確認や、金融機関の残高照会など、各種サービスを利用する際は、必ず公式サイトからダウンロードした公式アプリを使いましょう。ウェブブラウザを利用する場合は、検索エンジンで表示された結果ではなく、あらかじめ自分で登録しておいたブックマークからアクセスすることで、偽サイトに誘導されるリスクを回避できます。
OSやアプリを最新の状態に保つ
スマートフォン本体のOS(iOSやAndroid)や、インストールしているアプリは、常に最新バージョンにアップデートしておきましょう。アップデートには、新たに見つかったセキュリティ上の弱点を修正する重要な更新が含まれています。古いバージョンのまま放置すると、攻撃者につけ入る隙を与えてしまうことになります。
セキュリティソフトを導入する
スマートフォン向けのセキュリティソフトやアプリを導入することも有効な対策です。これらのソフトは、危険なSMSを検知して警告を表示したり、不正なWebサイトへのアクセスをブロックしたりする機能を持っています。万が一、誤って危険なリンクを開こうとしても、被害を未然に防ぐ防波堤としての役割を果たします。
スミッシングの被害に遭ってしまった場合の対応
どれだけ注意していても、一瞬の隙を突かれて被害に遭ってしまう可能性はゼロではありません。万が一、スミッシングの被害に遭ってしまったと気づいた場合は、慌てず冷静に対応することが被害の拡大を防ぎます。
通信キャリアや金融機関への連絡
クレジットカード情報や口座情報を入力してしまった場合は、ただちにカード会社や金融機関に連絡し、利用停止の手続きを行ってください。不正利用されていないか、明細を必ず確認しましょう。キャリア決済を悪用された可能性がある場合は、契約している携帯電話会社にも連絡が必要です。
パスワードの変更と2要素認証の設定
偽サイトでIDとパスワードを入力してしまった場合は、同じパスワードを使い回している他のサービスも含め、すべてのアカウントのパスワードを直ちに変更してください。その際、推測されにくい複雑な文字列に設定することが大切です。さらに、セキュリティ強化のため、SMSや認証アプリを使った「2要素認証」を設定し、不正ログインを防止しましょう。
警察や専門機関への相談
金銭的な被害が発生した場合や、犯罪に巻き込まれた可能性がある場合は、最寄りの警察署やサイバー犯罪相談窓口に相談してください。具体的な対応についてアドバイスを受けることができます。また、独立行政法人情報処理推進機構(IPA)などの専門機関も、情報セキュリティに関する相談を受け付けています。一人で抱え込まず、専門家の助けを借りることが大切です。
まとめ
この記事では、SMSを悪用した詐欺であるスミッシングについて、その手口から具体的な対策、被害に遭った際の対処法までを解説しました。宅配業者や金融機関などを装ったSMSは、私たちの生活の身近なところに潜んでいます。
重要なのは、SMSに記載されたURLをすぐにクリックしない、そして送信元の情報を鵜呑みにしないことです。万が一の事態に備え、OSのアップデートやセキュリティソフトの導入といった技術的な対策も併せて行いましょう。
本記事の内容に誤り等がございましたら、こちらからご連絡ください。
監修
Admina Team
情シス業務に関するお役立ち情報をマネーフォワード Adminaが提供します。
SaaS・アカウント・デバイスの管理を自動化し、IT資産の可視化とセキュリティ統制を実現。
従業員の入退社対応や棚卸し作業の工数を削減し、情報システム部門の運用負荷を大幅に軽減します。
中小企業から大企業まで、情シス・管理部門・経営層のすべてに頼れるIT管理プラットフォームです。
