スミッシングとは？ わかりやすく10分で解説

スミッシングとは、SMS（ショートメッセージサービス）を使ったフィッシング詐欺です。攻撃者は、配送業者、金融機関、ECサイト、携帯キャリア、公的機関などを装い、偽サイトへのアクセス、個人情報の入力、不正アプリのインストール、電話や返信を促します。個人のスマートフォン被害にとどまらず、企業アカウントの不正利用や不正送金につながる場合もあります。

スミッシング対策では、SMS内のURLを安易に開かないこと、公式アプリや公式サイトなど別経路で確認すること、端末とアカウントを保護することが基本です。企業では、従業員教育だけに依存せず、端末管理、認証強化、通報窓口、ログ監視を組み合わせて、被害が拡大しにくい運用を整える必要があります。

スミッシングとは

スミッシングは、「SMS」と「phishing」を組み合わせた言葉で、SMSを使って利用者をだまし、情報や金銭を盗み取る攻撃を指します。メールを使うフィッシング詐欺と構造は似ていますが、誘導経路がSMSである点が異なります。

SMSは、配送通知、本人確認、料金案内、認証コードの通知などで日常的に使われています。そのため、受信者が正規の通知だと思い込みやすく、スマートフォン上ではURLをすぐに開けるため、被害につながりやすい特徴があります。

スミッシングの基本構造

スミッシングは、偽装、誘導、入力または実行、悪用という流れで成立します。攻撃者は、実在する企業やサービス名を使い、受信者に「確認が必要」「支払いが未完了」「アカウントを停止する」などと伝えて行動を促します。

1. 配送業者、金融機関、ECサイト、携帯キャリアなどを装ったSMSが届く
2. SMS内のURL、電話番号、返信要求によって受信者を誘導する
3. 偽サイトでID・パスワード、カード情報、認証コードなどを入力させる
4. 不正アプリのインストールや端末設定の変更を促す場合もある
5. 盗んだ情報を使い、不正ログイン、不正決済、追加の詐欺に悪用する

スミッシングと通常のフィッシングの違い

スミッシングと通常のフィッシングは、どちらも利用者を偽サイトや不正な手続きへ誘導し、情報や金銭を狙う攻撃です。違いは、最初の接触手段です。通常のフィッシングはメールが中心ですが、スミッシングはSMSやテキストメッセージを使います。

スミッシングが広がる背景

スミッシングが広がる背景には、スマートフォンの普及、SMS通知の一般化、電話番号リストの悪用、短縮URLや偽ドメインの利用があります。配送通知、決済通知、本人確認のSMSが日常的に届くため、受信者が正規の通知と誤認しやすくなっています。

また、メールに比べてSMSの本文は短く、詳細な確認をしないままタップされることがあります。攻撃者はこの性質を利用し、「至急」「停止」「未払い」「再配達」などの文言で判断を急がせます。

スミッシングの主な手口

スミッシングの手口は、偽サイト誘導型、不正アプリ誘導型、返信・電話誘導型に分けて整理できます。どの手口でも、正規の企業やサービスに見せかけ、受信者の不安や焦りを利用する点は共通しています。

偽サイトへ誘導する

最も代表的な手口は、SMS内のURLから偽サイトへ誘導するものです。偽サイトは、金融機関、ECサイト、携帯キャリア、配送業者、公的機関のログイン画面に似せて作られます。

偽サイトでは、ID、パスワード、クレジットカード番号、氏名、住所、生年月日、SMS認証コードなどの入力を求められます。入力した情報は攻撃者に渡り、不正ログイン、不正決済、アカウント乗っ取りに使われるおそれがあります。

不正アプリのインストールを促す

SMS内のURLから、正規ストア以外のアプリや、偽のセキュリティアプリ、偽の配送確認アプリをインストールさせる手口もあります。不正アプリが入ると、SMS、通知、連絡先、端末情報が盗まれる場合があります。

特に、端末の設定変更、アクセシビリティ権限、通知アクセス、SMS読み取り権限、管理者権限を求めるアプリには注意が必要です。業務端末では、アプリのインストール元を制限し、MDMなどで管理することが有効です。

SMS認証コードを盗む

攻撃者は、偽サイトや電話でSMS認証コードの入力を促すことがあります。SMSで届いた認証コードを攻撃者に伝えると、別サービスへのログインや決済手続きに悪用されるおそれがあります。

認証コードは、正規サービスのログインや本人確認に使われる情報です。サービス事業者や金融機関を名乗る相手であっても、SMSで届いたコードを入力・返信・口頭共有してはいけません。

返信や電話を促す

SMSに「確認のため返信してください」「この番号へ電話してください」と書かれている場合もあります。返信すると、電話番号が実際に使われていることを攻撃者に知らせることになり、追加の詐欺SMSや電話につながる場合があります。

確認が必要な場合は、SMSに記載された番号やURLを使わず、公式サイト、公式アプリ、契約書面、カード裏面、請求書面に記載された正規窓口から連絡します。

知人や取引先を装う

端末やアカウントが侵害された場合、盗まれた連絡先を使って、知人や取引先を装ったSMSが送られることがあります。受信者は、知っている相手から届いたように見えるため、警戒が弱くなります。

普段と違う文面、不自然なURL、金銭や認証情報の要求、急なファイル共有が含まれる場合は、別の連絡手段で本人確認を行います。

スミッシングによる被害

スミッシングの被害は、個人情報の流出だけではありません。アカウントの不正利用、金銭被害、端末侵害、企業システムへの侵入につながることがあります。

個人情報や認証情報の窃取

偽サイトへ情報を入力すると、ID、パスワード、クレジットカード番号、住所、電話番号、認証コードなどが盗まれます。盗まれた情報は、不正ログイン、不正決済、パスワードリセット、なりすましに利用される場合があります。

同じIDとパスワードを複数サービスで使い回している場合、1つのサービスで盗まれた認証情報が別サービスにも試されます。このような被害を防ぐには、パスワードの使い回しを避け、多要素認証を導入することが重要です。

不正決済や不正送金

金融機関や決済サービスを装ったスミッシングでは、カード番号、口座情報、ワンタイムパスワード、本人確認情報が狙われます。入力後、短時間で不正決済や送金が行われる場合があります。

金銭被害が疑われる場合は、金融機関、カード会社、決済サービス事業者へすぐに連絡し、利用停止や取引確認を行います。あわせて、警察相談窓口や関係機関への相談も検討します。

端末侵害と情報流出

不正アプリをインストールすると、端末内のSMS、通知、連絡先、通話履歴、写真、ファイル、アプリ情報が盗まれるおそれがあります。端末が侵害されると、本人だけでなく、連絡先に登録された相手にも被害が広がる場合があります。

不正アプリのインストールが疑われる場合は、通信を切る、重要アカウントのパスワードを別端末から変更する、金融・決済サービスを確認する、端末を初期化するなどの対応が必要になることがあります。

企業アカウントの不正利用

従業員のスマートフォンが業務メールや業務SaaSに接続している場合、スミッシングは企業被害にもつながります。業務アカウントの認証情報が盗まれると、メール閲覧、ファイル取得、取引先へのなりすまし、クラウドサービスへの不正アクセスが発生する可能性があります。

企業では、個人の注意だけに頼らず、端末管理、条件付きアクセス、認証強化、ログ監視、通報窓口を整える必要があります。

スミッシングを見分けるポイント

スミッシングは、文面やURLを正規通知に似せて作られます。完全に見分けることは難しいため、「疑わしいSMSはURLを開かず、別経路で確認する」ことを基本にします。

判断を急がせる文面

「本日中に確認」「アカウント停止」「未払い」「荷物を返送」「本人確認が必要」など、受信者を急がせる文面は典型的です。正規の通知に見える場合でも、SMS内のURLから手続きしないことが安全です。

URLやドメインが不自然

企業名に似せた別ドメイン、短縮URL、文字列の一部を入れ替えたドメイン、意味のない英数字のURLは注意が必要です。ただし、URLが自然に見えても安全とは限りません。

httpsで始まるURLでも偽サイトの可能性があります。httpsは通信が暗号化されていることを示すものであり、サイト運営者が正規企業であることを保証するものではありません。

個人情報や認証コードを求める

SMSから開いた画面で、ID、パスワード、カード番号、認証コード、本人確認書類、口座情報を求められた場合は、入力を中止します。必要な手続きかどうかは、公式アプリや公式サイトから確認します。

アプリや設定変更を求める

配送確認、本人確認、セキュリティ対策などの名目で、アプリのインストールや端末設定の変更を求めるSMSは危険です。特に、正規ストア以外からのインストールや、強い権限の付与を求める場合は、詐欺やマルウェアを疑います。

スミッシングへの基本対策

スミッシング対策では、SMS内リンクを使わないこと、公式経路で確認すること、端末とアカウントを保護することを徹底します。被害を完全に避けることは難しいため、誤ってタップした場合の対応も決めておきます。

SMS内リンクを原則開かない

心当たりのないSMS、判断を急がせるSMS、金銭や認証情報に関わるSMSでは、本文中のURLを開かないことが基本です。配送、銀行、カード、携帯料金、ECサイトを装ったSMSは特に注意します。

確認する場合は、公式アプリ、ブックマーク済みの公式サイト、契約書面、請求書面、カード裏面など、自分で確認した正規経路を使います。

不審SMSに返信しない

不審なSMSには返信しません。返信すると、電話番号が有効であることを攻撃者に知らせる可能性があります。本文に「停止するには返信」「本人確認のため返信」などと書かれていても、従わないことが安全です。

端末とアプリを最新状態に保つ

スマートフォンのOS、ブラウザ、メッセージアプリ、セキュリティ機能を最新状態に保ちます。既知の脆弱性が残ると、不正アプリや悪質サイトによる被害を受けやすくなります。

アプリは正規ストアから入手し、不要なアプリや使っていないプロファイルは削除します。Androidでは提供元不明アプリのインストールを無効にし、iPhoneでは不審な構成プロファイルや管理設定がないか確認します。

認証方式を強化する

重要アカウントには、多要素認証を設定します。SMS認証は使いやすい一方で、SIMスワップ、端末侵害、認証コードの詐取といったリスクがあります。可能であれば、認証アプリ、FIDO2、パスキー、セキュリティキーなど、より耐性の高い方式も検討します。

パスワードは使い回さず、サービスごとに異なる長いパスワードを使います。パスワードマネージャーを利用すると、使い回しを減らしやすくなります。

不審SMSを報告する

不審なSMSを受け取った場合は、通信キャリア、サービス事業者、警察相談窓口、社内の情報システム部門やCSIRTなど、状況に応じた窓口へ報告します。企業では、従業員が迷わず報告できるよう、報告先と手順を明確にしておきます。

報告時は、SMSの本文、送信元、受信日時、URL、タップや入力の有無を記録します。証跡を残しておくと、サービス事業者や社内担当者が状況を判断しやすくなります。

SMSのURLを開いてしまった場合の対応

SMSのURLを開いただけで、必ず被害が発生するとは限りません。ただし、情報入力、不正アプリのインストール、認証コードの送信を行った場合は、速やかに対応します。

情報を入力していない場合

URLを開いただけで情報を入力していない場合は、画面を閉じ、ブラウザ履歴やダウンロード履歴を確認します。不審なファイルやアプリを保存していないか確認し、端末のセキュリティ機能でスキャンします。

ID・パスワードを入力した場合

IDやパスワードを入力した場合は、正規サイトや公式アプリからすぐにパスワードを変更します。同じパスワードを使っている他サービスがあれば、それらも変更します。ログイン履歴、登録メールアドレス、電話番号、MFA設定、連携アプリも確認します。

カード情報や口座情報を入力した場合

カード番号、口座情報、決済情報を入力した場合は、カード会社、金融機関、決済サービス事業者へすぐに連絡します。不正利用の有無を確認し、必要に応じてカード停止、再発行、取引停止を依頼します。

不正アプリを入れた場合

不正アプリをインストールした場合は、ネットワーク接続を切り、別端末から重要アカウントのパスワードを変更します。アプリを削除し、端末の設定を確認します。削除できない場合や権限変更が疑われる場合は、端末の初期化や専門窓口への相談を検討します。

企業で行うべきスミッシング対策

企業では、従業員の注意喚起だけでは不十分です。業務端末、私物端末の業務利用、クラウドサービス、メール、認証、監視を含めて対策を設計します。

従業員教育と通報手順

教育では、「SMS内リンクを開かない」という一般論だけでなく、業務で実際に使うサービス、正規通知の見分け方、通報先、誤って入力した場合の手順を説明します。

通報手順は短く明確にします。従業員が迷うと、報告が遅れます。不審SMSを受け取ったら、削除前にスクリーンショットを取得し、情報システム部門やCSIRTへ報告するなど、社内ルールを整備します。

端末管理

社用スマートフォンでは、MDMやMAMを使い、アプリのインストール元、OS更新、画面ロック、暗号化、リモートワイプ、危険な設定変更を管理します。業務アプリへのアクセスは、端末の状態や管理状況に応じて制御します。

私物端末を業務利用する場合は、利用条件、アクセスできる情報、紛失時の対応、退職時のデータ削除、アプリ管理を明確にします。

業務アカウントの保護

業務メール、VPN、SaaS、クラウド管理画面には、多要素認証を適用します。管理者アカウントや高権限アカウントでは、FIDO2、パスキー、証明書など、フィッシング耐性の高い認証方式を優先します。

また、条件付きアクセス、端末証明書、リスクベース認証、セッション制御を組み合わせ、端末や場所が通常と異なる場合は追加確認を求めます。

ログ監視と初動対応

スミッシングによって認証情報が盗まれた場合、攻撃者はメール、クラウドストレージ、SaaSへログインを試みます。認証ログ、メール転送設定、MFA設定変更、ファイル共有、管理者権限変更を監視します。

不審なログインや設定変更を検知した場合は、アカウント停止、セッション無効化、パスワード変更、MFA再登録、端末確認、関係者への連絡を速やかに実施します。

スミッシング対策の今後

スミッシングは、文面、偽装先、誘導方法が変化し続けます。生成AIや自動翻訳の普及により、不自然さの少ない文面が作られる可能性もあります。今後は、利用者の注意喚起だけでなく、技術的な検知、認証方式の強化、正規通知の設計改善が重要になります。

SMSを使う事業者側の設計

事業者がSMSを使って通知する場合は、利用者が正規通知と偽通知を見分けやすい設計が必要です。SMS本文にURLを入れない、公式アプリで確認させる、通知方針を明示する、差出人表示を統一するなどの対策が考えられます。

利用者に「SMSのURLを開かない」と求めるなら、事業者側もSMS内リンクに依存しない導線を整える必要があります。

フィッシング耐性の高い認証方式

認証情報を入力させる攻撃に対しては、パスワードとSMS認証だけでは限界があります。FIDO2、パスキー、証明書など、フィッシング耐性の高い認証方式を使うと、偽サイトに情報を入力しても認証が成立しにくくなります。

企業では、全利用者へ一度に展開するより、管理者、経理、役員、顧客情報を扱う部門など、影響が大きいアカウントから優先して適用します。

まとめ

スミッシングは、SMSを使って利用者を偽サイト、不正アプリ、返信、電話へ誘導し、認証情報、個人情報、金銭を狙うフィッシング詐欺です。配送業者、金融機関、ECサイト、携帯キャリア、公的機関などを装い、判断を急がせる文面で行動を促します。

対策の基本は、SMS内リンクを原則開かず、公式アプリや公式サイトなど別経路で確認することです。情報を入力してしまった場合は、パスワード変更、カード会社や金融機関への連絡、端末確認を速やかに行います。

企業では、従業員教育、通報手順、端末管理、業務アカウントの認証強化、ログ監視を組み合わせます。個人の注意だけに依存せず、誤って操作しても被害が広がりにくい仕組みを整えることが、スミッシング対策の中心になります。

よくある質問（FAQ）