IT用語集 2024/04/17

スミッシングとは？わかりやすく10分で解説

コラム

スミッシングは、SMS（ショートメッセージ）という「短くて見慣れた通知経路」を悪用し、リンクのタップや情報入力を促して被害につなげる詐欺です。個人のスマホ被害にとどまらず、企業アカウントの乗っ取りや不正送金の入り口にもなり得るため、手口・被害・対策を一通り押さえておくことが重要です。本記事では、スミッシングの定義から典型的な攻撃パターン、実務で役立つ予防策までを整理して解説します。

スミッシングとは

スミッシングとは、ショートメッセージサービス（SMS）を使ったフィッシング詐欺の一種です。攻撃者は配送業者・金融機関・ECサイト・携帯キャリアなどを装い、SMSの本文にURLを添付して「確認」「更新」「支払い」などの行動を促します。受信者がURLをタップしたり、表示された偽サイトに情報を入力したりすることで、個人情報や認証情報、金銭が狙われます。

スミッシングの意味

スミッシングとは、「SMS phishing」を語源とする呼称で、SMSを利用したフィッシング（釣り）詐欺を指します。メールより短文で届くため警戒心が下がりやすく、スマホではURLがタップしやすい点も相まって、被害に発展しやすいのが特徴です。

なお「フィッシング」は、偽のWebページや偽の手続き画面へ誘導し、ID・パスワード、クレジットカード番号、認証コードなどをだまし取る攻撃の総称です。フィッシング全般の理解があると、スミッシングの見抜きやすさも上がります。

フィッシング詐欺の詳細は、以下の記事も参考にしてください。
フィッシング詐欺とは？手口や企業に必要な対策など

スミッシングの起源と広がった背景

スミッシングは、スマートフォンの普及とともに拡大しました。SMSは「配送通知」「本人確認（ワンタイムコード）」「料金案内」などで日常的に使われるため、受信者が“通知”として受け取りやすいことが背景にあります。

また、メールの迷惑対策（フィルタリングや訓練）が進む一方で、SMSはメールほどの対策が浸透していないケースもあり、攻撃者にとって狙いやすい経路になりがちです。さらに、攻撃者が入手した電話番号リスト（漏えい・名簿化・総当たり送信など）が攻撃の母数を増やします。

スミッシングと類似するサイバー攻撃

スミッシングはフィッシング詐欺の一種で、狙い（情報をだまし取る）や基本構造（偽装→誘導→入力/実行）はメールのフィッシングと共通します。違いは「誘導の入口がSMSである」点です。

類似手口として、次のようなものがあります。

メールフィッシング：メール本文のURLや添付ファイルから誘導する。
ボイスフィッシング（ビッシング／vishing）：電話で本人確認や支払いを迫り、情報や送金を狙う。
ソーシャルメディア経由の詐欺：SNSのDMやチャットでURLを送る。

どの経路でも、「急がせる」「不安をあおる」「今すぐ確認が必要」といった心理操作が組み合わされる点は共通しています。

スミッシングの全体像

スミッシングは大きく分けると、次の2系統に整理できます。

偽サイト誘導型：偽ログイン画面や偽の支払い画面へ誘導し、ID・パスワード、カード番号、認証コードなどを入力させて盗む。
端末侵害型：不正アプリのインストール、設定変更（プロファイル導入、アクセシビリティ権限付与など）を促して端末を侵害し、情報窃取や遠隔操作につなげる。

いずれも最初の入口は「SMS内のURL」や「返信を促す文言」であり、受信者の初動（タップしない／別経路で確認する）が被害分岐点になります。少しでも不審なら返信やタップをせず、公式アプリ・公式サイト・公式窓口など“自分が知っている経路”で真偽を確認することが重要です。

スミッシングの具体的な手口

スミッシングは、受信者の行動を誘導して成立します。ここでは、よく見られる手口を「何をさせたいのか」という観点で整理します。手口を知っておくと、SMSの文面を見た時点で危険を察知しやすくなります。

マルウェアを含むアプリのインストールを促す

攻撃者は「配送状況の確認」「未払い料金の確認」「セキュリティ強化」などの名目でリンクを送ります。リンク先でアプリのインストールを求められたり、ストア以外からのインストールへ誘導されたりした場合は要注意です。

不正アプリが入ると、SMSの読み取り、通知の監視、画面の重ね合わせ（偽ログイン画面の表示）などが可能になり、追加の被害へ発展します。特に「端末の設定変更」や「権限付与」を強く求める画面は危険信号です。

SMSや電話帳など端末内情報を盗む

端末侵害型では、SMS本文や通知内容、連絡先、端末情報（機種、OS、電話番号など）が狙われます。盗まれた情報は、次の攻撃（本人確認の突破、知人へのなりすまし、より精巧な詐欺文面の作成）に悪用される恐れがあります。

また、SMSの認証コード（ワンタイムパスワード）を盗まれると、二要素認証を導入していても突破されるリスクが高まります。SMSでの認証を使っているサービスが多い場合は、認証アプリやセキュリティキーなど、より耐性のある方式への切り替えも検討するとよいでしょう。

盗まれた電話番号に対して不審なSMSを拡散する

攻撃者は、盗んだ連絡先やSMS送信機能を使い、被害者の端末から（あるいは被害者の情報を使って）大量にSMSを送る場合があります。受信者は「知っている人から来た」「普段の文体に似ている」と感じて油断しやすくなります。

この段階では、個人の注意だけでなく、端末の初期化やアカウントのパスワード変更、キャリア・金融機関への連絡など、被害を止める行動が必要になることがあります。

なりすまし（配送業者・金融機関・キャリア・ECなど）

なりすましは最も一般的な手口です。「不在通知」「本人確認が必要」「アカウントが停止される」「支払いが失敗した」など、焦りを誘う文言とURLがセットで送られます。

重要なのは、SMSに書かれた“連絡先”や“URL”を信用しないことです。企業名が書かれていても、送信元番号が偽装される場合や、似たドメイン（例：文字を置き換えた紛らわしいURL）が使われる場合があります。確認するなら、公式アプリの通知、公式サイトのブックマーク、請求書面、正規のサポート窓口など、別経路を使いましょう。

スミッシングによる被害

スミッシングは「タップ」や「入力」という小さな行動が引き金になりますが、被害の種類は幅広く、復旧コストも大きくなりがちです。ここでは典型例を整理します。

スマートフォンの乗っ取り（端末侵害）

不審URLから不正アプリを入れてしまったり、端末設定を変更してしまったりすると、攻撃者に端末を実質的に操作される状態になることがあります。結果として、SNS・メール・各種クラウドの認証情報が盗まれたり、端末上で追加の詐欺手続きが実行されたりする恐れがあります。

スマートフォン内データの盗み見・情報流出

端末が侵害されると、SMS、各種メッセージアプリ、通話記録、写真、連絡先などの個人情報が狙われます。情報が外部に流出すると、なりすましや脅迫、二次被害（知人への詐欺拡散）につながることもあります。

悪質なURLへの誘導（偽サイトでの認証情報窃取）

偽サイト誘導型では、ログインID・パスワード、カード番号、氏名・住所、認証コードなどを入力させて盗みます。入力してしまうと、短時間で不正ログインや不正決済に利用される場合があります。

課金を伴うURLへの誘導（不正課金・サブスク登録）

誘導先で有料サービスへの登録や決済を行わせるパターンもあります。「支払い確認」「再配達手数料」など、少額に見せて入力を促し、継続課金に結び付けるケースもあるため注意が必要です。

スミッシング対策のステップ

スミッシング対策は「個人の注意」だけでは不十分な場合があります。特に企業では、端末管理・認証・教育・通報ルートを組み合わせて、被害を“起こさない／広げない”設計にすることが重要です。ここでは、実行しやすい順にステップをまとめます。

届いたURLが公式のものか確認する

第一の防御ラインは、URLの正当性チェックです。疑わしいSMSが届いたら、まず深呼吸して内容を読み、URLをタップせずに確認します。

ドメイン名が公式サイトのものと一致しているか（企業名に似せた別ドメインになっていないか）。
短縮URL（例：短いリンク）で行き先が分からない場合は特に慎重に扱う。
https表記だけで安全とは判断しない（暗号化されているだけで、偽サイトでもhttpsは使えます）。

最も安全なのは、SMSのURLを使わずに、公式アプリ・ブックマーク済みの公式サイト・公式のサポート窓口から確認することです。

不審なSMSに返信せず、公式窓口で真偽確認する

疑わしいメッセージには直接返信しないことが基本です。返信すると「この番号は生きている」と攻撃者に伝わり、追加の詐欺が増える可能性があります。

確認が必要なら、SMSに書かれた連絡先ではなく、公式サイトに掲載された窓口や公式アプリの案内を使って照会しましょう。金融・決済・IDに関わる内容は、特に慎重な運用が必要です。

手口を共有し、組織内・家庭内で周知する

スミッシングは「知っているだけで回避できる」割合が高い攻撃です。ニュースやセキュリティ機関の注意喚起、キャリアの案内などを定期的に確認し、周囲と共有しましょう。

企業では、次のような運用が有効です。

受信した不審SMSを報告する窓口（情シス・CSIRTなど）を周知する。
社用端末に対して、アプリ配布元の制限、MDM（端末管理）、OSアップデート強制などを組み合わせる。
認証は可能ならSMS依存を下げ、認証アプリやセキュリティキーなどへ移行する。

SMSに届いたURLは原則タップしない

最も効果の高い予防策は、SMS内リンクを“原則タップしない”運用です。心当たりがないのに「荷物」「口座」「料金」「停止」などが届いた場合は、詐欺を疑うべきです。

どうしても確認が必要な場合は、検索エンジン経由で公式サイトを探すより、ブックマークした公式サイトや公式アプリ、契約書面に記載された窓口といった“確実な経路”を使うのが安全です。

スミッシングの現状と未来

スミッシングは、スマホを起点とした詐欺の代表例として、手口が変化し続けています。技術面だけでなく、教育・制度・運用設計を含めて対応する視点が求められます。

スミッシングの現状と制度面の考え方

スミッシングは「一般の利用者にも届く」「攻撃文面のテンプレ化が容易」という性質があり、被害が継続的に発生しやすい攻撃です。個人の自衛（タップしない、別経路で確認する）は重要ですが、それだけでゼロにするのは難しいため、キャリア側の迷惑SMS対策、事業者の注意喚起、捜査・抑止など、多層的な対応が必要になります。

制度面については国や地域によって異なりますが、詐欺・不正アクセス・マルウェア配布などに関わる行為は一般に違法となり得ます。重要なのは「被害者側の行動を前提にしない設計（タップしても致命傷になりにくい仕組み）」をサービス提供側が整えていくことです。

国内外の対策の方向性

対策の方向性は大きく2つです。ひとつは、キャリア・OS・アプリ側で不審メッセージや危険URLを検知し、警告やブロックを行う方向。もうひとつは、事業者側が「SMSにURLを載せない／載せる場合は方針を明示する」「公式アプリへ誘導する」など、利用者が判断しやすい運用へ寄せる方向です。

企業では、端末管理（MDM/MAM）、ゼロトラスト前提のアクセス制御、強固な認証（多要素認証、フィッシング耐性の高い方式）などを組み合わせることで、仮に端末側でミスが起きても被害を最小化できます。

サイバーセキュリティとの関連性

スミッシングは「入口がSMSである」というだけで、本質はアイデンティティ（認証情報）と端末を狙う攻撃です。つまり、サイバーセキュリティの基本である「認証強化」「端末の健全性確保」「最小権限」「監視と通報」が、そのまま有効になります。

特に企業では、個人端末の一瞬のタップが、業務アカウントの不正利用へ連鎖する場合があります。個人の注意喚起に加え、業務システム側で異常検知・追加認証・セッション制御などを用意し、“一発アウト”にならない構造を作ることが重要です。

スミッシングと未来

スミッシングを含む詐欺は、今後も文面・偽装手口・誘導先の作り込みが変化していくと考えられます。一方で、OSやキャリアの検知技術、フィッシング耐性の高い認証方式の普及、利用者教育の改善などにより、被害を減らせる余地もあります。

最終的に効くのは「知識」と「運用」です。個人であれば、SMSリンクをタップしない、公式経路で確認する、端末とアカウントを適切に保護する。組織であれば、教育に加えて端末管理・認証・監視・通報を整備し、被害が起きても広がらない設計にする。これらを積み重ねることで、スミッシング被害を減らしていくことができます。