スミッシングとは？SMSを活用したフィッシング詐欺の手口と被害事例、対策を徹底解説

近年、巧妙化するスミッシング詐欺が急増しています。スミッシングとは、SMS（ショートメッセージサービス）を利用したフィッシング詐欺の一種です。携帯電話番号宛に偽のメッセージを送りつけ、個人情報や金銭を騙し取ろうとする詐欺行為です。

本記事では、スミッシング詐欺の仕組みや手口、実際の被害事例を徹底解説します。また、個人だけでなく、企業や自治体が対象となるスミッシング被害を防ぐための具体的な対策方法も併せて解説します。

＼国内初／経済産業省認定SMSサービス「SMAPS」

通知・本人認証・決済までをワンストップで

従来の電子内容証明郵便や配達証明に比肩する機能を備えています。
SMSからスマホ決済やコンビニ支払いを送ることが可能です。
450社以上導入！機能や実績の詳細は資料をご確認ください。

SMAPSの資料を無料ダウンロード

1 スミッシングとは
2 スミッシングの目的
3 スミッシングの被害が拡大する理由
4 スミッシングの主な手口と被害事例
5 【個人向け】スミッシング被害に遭わない6つの対策方法
6 【企業・自治体向け】スミッシング被害を防ぐ方法
7 【企業・自治体向け】利用者からスミッシング被害報告があった際の対処法
8 スミッシングの最新動向：巧妙化する手口と今後の対策
9 スミッシング対策には発信元番号を公開しているSMAPSの利用がおすすめ
10 スミッシングから身を守るために、常に最新情報と対策を

スミッシングとは

スミッシングとは、SMSを利用したフィッシング詐欺の一種です。巧妙な手口で個人情報を盗み取ったり、金銭を騙し取ったりするサイバー犯罪であり、近年その被害が拡大しています。

本章では、スミッシングの意味と仕組みを詳しく解説します。

スミッシングの意味

スミッシングとは、SMS（Short Message Service）とフィッシング（Phishing）を組み合わせた造語です。フィッシング詐欺の手口をSMSに応用し、受信者を騙して個人情報を詐取したり、不正なWebサイトへ誘導したりする行為のことです。SMSフィッシングと呼ばれることもあります。

従来のフィッシング詐欺は主にメールを悪用していましたが、スミッシングはSMSの特性を悪用することで、より多くの人々をターゲットにしています。

スミッシングの仕組み

スミッシングは、攻撃者が実在する企業やサービスを装い、受信者に偽のSMSを送信してURLをクリックさせたり、個人情報を入力させたりする仕組みです。以下のような緊急性やお得感を与えてURLに誘導します。

「お客様の口座が不正アクセスされています。至急ご確認ください。」
「お荷物のお届けにあがりましたが不在のため持ち帰りました。再配達手続きはこちらから。」
「〇〇キャンペーンに当選しました！詳細はこちら。」

SMSに記載されたURLをクリックすると、偽のWebサイトに誘導されます。Webサイトは本物のWebサイトと酷似しているため、注意深く見ないと見破ることが困難です。偽のWebサイト上でIDやパスワード、クレジットカード情報などの個人情報を入力してしまうと、それらの情報は攻撃者に送信され、悪用されてしまいます。

また、マルウェアをインストールさせて、システムに不正アクセスを試みるケースもあります。

スミッシングでSMSが使われる理由

スミッシングにSMSが利用されるのには、いくつかの理由があります。

開封率が高い
SMSはメールに比べて開封率が高く、メッセージに多くの人が気づきやすい傾向にあります。緊急性のある内容を装って受信者を慌てさせ、URLをクリックさせやすくします。
手軽に送信できる
SMSはメールアドレスを知らなくても電話番号だけで送信できます。そのため、攻撃者は大量のSMSを容易に送信できます。
信頼されやすい
SMSは、電話番号という個人情報に紐づいているため、メールよりも信頼性が高いと思われがちです。特に宅配業者の不在通知など、SMSで連絡が来る一般的なサービスを装うことで、受信者を騙しやすくなります。

スミッシングとSMSフィッシングの違い

スミッシングとSMSフィッシングは、どちらも携帯電話のSMSを利用した詐欺の手口で、同じ意味で使われます。どちらの用語も、詐欺グループが偽のメッセージを送信し、受信者を騙して個人情報を盗み取ったり、マルウェアをインストールさせたりする行為のことです。

一般的に、以下のニュアンスで使用される場合があります。

スミッシング（Smishing）: SMSとフィッシングを組み合わせた造語で、より一般的な用語として使用される
SMSフィッシング: SMSを利用したフィッシング詐欺であることを明確に示す用語

スミッシングの目的

スミッシングの主な目的は以下の通りです。

個人情報の詐取

氏名や住所、電話番号、メールアドレス、クレジットカード情報、銀行口座情報、ID・パスワードなど、あらゆる個人情報の詐取が目的です。これらの情報は、不正なアカウント作成、クレジットカードの不正利用、なりすまし詐欺などに悪用されます。

金銭の詐取

偽の料金請求、未払い料金の督促、懸賞当選の通知などを装い、金銭を騙し取ろうとします。主な手口は、URLをクリックさせて偽のWebサイトに誘導し、クレジットカード情報や銀行口座情報を入力させたり、受信者にプリペイドカードを購入させて記載番号を送信させたりする方法です。

マルウェア感染

SMSに記載されたURLをクリックさせ、マルウェア（ウイルス）に感染させることが目的です。マルウェアに感染すると、個人情報が盗まれたり、スマートフォンが遠隔操作されたり、他の端末への感染を広げる踏み台にされたりする可能性があります。

スミッシングの被害が拡大する理由

スミッシングの被害は年々増加傾向にあり、その背景にはいくつかの要因があります。スミッシングの被害が拡大する主な理由は以下の通りです。

手口の巧妙化

正規のサービスを装ったSMSメッセージとの区別がつきにくくなっています。例えば、宅配業者や金融機関からの通知を装い、緊急性を煽ることで、受信者を焦らせてURLをクリックさせようとします。

SMSの利用拡大

スマートフォンや携帯電話の普及に伴い、SMSの利用が拡大しています。企業やサービスからの通知手段としてSMSが一般的に利用されるようになったため、スミッシング詐欺もSMSを悪用しやすくなっています。

個人情報の漏洩

インターネット上で使用された個人情報を不正に抜き取って作成する闇名簿（闇リスト）の流出により、詐欺グループが個人情報を入手しやすくなっています。

個人情報をもとに巧妙なスミッシングメッセージを作成し、ターゲットを絞った詐欺が可能になっています。

セキュリティ意識の低さ

セキュリティ意識の低いことがスミッシング被害拡大の一因です。不審なSMSメッセージに対する警戒心が薄く、安易にURLをクリックしたり、個人情報を入力したりするケースが多く見られます。

対策の遅れ

常に進化するスミッシングの手口に、セキュリティ対策がそのスピードに追いついていない現状があります。特に、AIを活用したスミッシングなどの新たな手口は、従来の対策では防ぎきれないケースも出てきています。

スミッシングの主な手口と被害事例

本章では、代表的な手口と実際に起こった被害事例をご紹介します。

金融機関の名をかたる

銀行やクレジットカード会社などの金融機関を装い、以下のような内容でSMSを送信してきます。

「【重要】お客様の口座が不正アクセスされています。至急ご確認ください。」
「クレジットカードのご利用確認が必要です。以下のURLから本人確認をお願いします。」
「セキュリティ強化のため、パスワードの再設定が必要です。」

これらのSMSに記載されたURLをクリックすると、偽のログイン画面に誘導され、IDやパスワード、クレジットカード情報などを入力するように促されます。入力した情報は詐欺グループに盗まれ、不正利用されてしまう可能性があります。

実際に、2024年11月23日に広島銀行をかたり「お知らせ、お客様の口座の取引に関する重要な確認です。ご確認が必要です。（偽のURL）」、「お客様の口座の取引を一時的に規制しています。確認をお願いします。（偽のURL）」といった内容の偽SMSが送信される事案が発生しました。

SMSに記載されたリンクをクリックすると、広島銀行ネットバンキングの本物のログイン画面と酷似した偽サイトに誘導されます。入力した契約者番号や口座番号、パスワードなどの情報が詐欺グループに送信され、口座情報が盗み取られる仕組みです。

広島銀行には、この詐欺に関する相談が42件寄せられており、被害額は少なくとも3,400万円以上にのぼるとされています。

参考：株式会社広島銀行「【再度の注意喚起】広島銀行を装った偽 SMS（ショートメッセージ）・偽電子メールについて」

ECサイトを装う

Amazonや楽天などの大手ECサイトを装い、以下のような内容でSMSが送信されます。

「【Amazon】お客様のアカウントで不正な購入が確認されました。詳細はこちら。」
「【楽天市場】ご注文の商品が発送されました。配送状況はこちらで確認できます。」
「【重要】お客様の楽天ポイントが失効間近です。今すぐご確認ください。」

これらのSMSに記載されたURLをクリックすると、偽のECサイトに誘導され、個人情報やクレジットカード情報の入力を促されるケースが多いです。結果としてクレジットカードが不正利用され、高額な請求が届くこともあります。

また、偽のキャンペーンやお得な情報で誘い込み、個人情報を入力させようとする手口もあります。

宅配業者になりすます

トビラシステムズ株式会社の調査によると、2024年に確認されたスミッシング手口の宅配事業者をかたるSMSは、全体の75.9％と非常に高い割合を示しています。

具体的には、以下のような内容でSMSを送信してきます。

「お客様宛にお荷物のお届け予定があります。ご確認ください。」
「不在のため荷物を持ち帰りました。再配達のご依頼はこちらから。」
「配達日時が変更になりました。新しい配達日時をご確認ください。」

これらのSMSに記載されたURLをクリックすると、偽の宅配業者サイトに誘導され、個人情報やクレジットカード情報の入力を促されます。また、不在通知を装い、再配達を依頼するために個人情報を入力させようとする手口も多いです。

個人情報を入力すると、自宅に不審な電話がかかってきたり、迷惑メールが大量に届くようになったりする可能性があります。

参考：トビラシステムズ株式会社「トビラシステムズ、「スミッシングトレンドレポート2024」を公開 2024年に流行した手口やランキングを発表」

通信（携帯）キャリアを装う

ドコモ、au、ソフトバンクなどの通信キャリアを装い、以下のような内容でSMSを送信してきます。

「【重要】お客様の携帯電話が利用停止になる可能性があります。詳細はこちら。」
「未払い料金が発生しています。至急お支払いください。」
「セキュリティ強化のため、SIMカードの再発行が必要です。」

これらのSMSに記載されたURLをクリックすると、偽のキャリアサイトに誘導され、IDやパスワード、クレジットカード情報などを入力するように促されます。また、個人情報を入力しないと携帯電話が利用停止になるといった不安を煽り、情報を入力させようとする手口も多いです。

冷静な判断が難しく、被害に遭いやすい傾向があります。

【個人向け】スミッシング被害に遭わない6つの対策方法

スミッシングは巧妙な手口で個人情報を盗み取ろうとするため、日頃から対策を講じることが重要です。本章では、個人がスミッシング被害に遭わないための具体的な対策方法を6つご紹介します。

対策1：不審なSMSのURLは絶対にクリックしない

スミッシングのもっとも一般的な手口は、SMSに記載されたURLをクリックさせ、偽のWebサイトに誘導することです。身に覚えのない送信元からのSMSや内容に怪しい点がある場合は、URLを絶対にクリックしてはいけません。

URLにアクセスする前に、送信元の電話番号やメッセージの内容をよく確認し、少しでも怪しいと感じたら無視することが重要です。URL短縮サービスを利用している場合も、誘導先が不明なため注意が必要です。

対策2：企業に問い合わせる

SMSの送信元が銀行やクレジットカード会社などの企業を名乗っている場合でも安易に信用せず、公式サイトなどで連絡先を確認したり、電話をかけたりして事実確認を行いましょう。

SMSに記載されている電話番号は詐欺グループが用意した番号の可能性があります。企業に問い合わせることで、SMSが本物かどうかを判断できます。

対策3：個人情報を絶対に入力しない

SMSでIDやパスワード、クレジットカード情報などの個人情報を要求された場合は、情報を入力してはいけません。企業からSMSでこれらの情報を尋ねることは、ほぼありません。個人情報の入力によって悪用される危険性が高いため、注意が必要です。

対策4：OSやアプリを常に最新の状態に保つ

スマートフォンのOSやアプリには、セキュリティ対策が万全でない可能性もあります。最新の状態にアップデートすることで、セキュリティ対策を修正し、スミッシング詐欺を防げる可能性が高まります。

OSやアプリのアップデート通知を確認して、速やかにアップデートすることが大切です。

対策5：キャリアが提供する迷惑メッセージ対策サービスを利用する

携帯キャリア各社は、迷惑SMSをフィルタリングするサービスも提供しています。サービスを利用することで、不審なSMSの受信リスクを減らせます。各キャリアの公式サイトでサービス内容を確認し、必要に応じて設定を行いましょう。

対策6：家族や友人と情報共有する

スミッシングの手口は日々巧妙化しているため、自分だけでスミッシング対策をするのは困難です。家族や友人との間で、スミッシングに関する情報を共有し、注意喚起を行うことで被害を未然に防げます。

怪しいSMSを受け取った場合は、周囲の人に相談し冷静な判断を心がけましょう。

【関連情報】【NOTICE】SMS不正利用に関する周知

【企業・自治体向け】スミッシング被害を防ぐ方法

スミッシングは企業や自治体にとっても深刻な問題です。顧客情報や従業員の個人情報が漏洩するだけでなく、組織全体の信頼が落ちる可能性もあります。本章では、企業・自治体向けにスミッシング被害を防ぐための具体的な対策を解説します。

対策1：利用者にスミッシングの注意喚起をする

SMSを配信する企業や自治体は、WebサイトやSNS、メールマガジンなどを通じて、スミッシングの手口や注意点を利用者に周知することが重要です。注意喚起の際には、具体的な事例を交えながら、URLリンクを安易にクリックしない、個人情報を入力しないなどの基本的な対策を促しましょう。

具体的には、以下のような情報を提供します。

金融機関や宅配業者などを装った偽のSMS画面の例
「【重要】アカウントがロックされました」などの緊急性をかたる文言の例
不審なSMSを受信した場合の連絡先

対策2：社内教育を徹底する

SMSを配信する企業や自治体は、万が一利用者がフィッシング被害を受けた際、従業員が適切に対応できるよう、定期的な社内教育を実施することが重要です。

具体的には、集合研修やeラーニング、模擬訓練などを通して、スミッシングの仕組み、具体的な手口、被害事例、対策方法などを指導します。また、スミッシングに似た他のサイバー攻撃についても触れ、総合的なセキュリティ意識の向上を図りましょう。

教育の際には、以下の点を強調すると効果的です。

業務で使用するスマートフォンやPCのセキュリティ対策の重要性
不審なSMSやメールを受信した場合の報告義務
個人情報保護の重要性

対策3：SMSが届いた場合の報告の流れを決める

利用者から不審なSMSの受信に関する連絡があった場合、速やかに報告できる体制を整えましょう。報告先、報告方法、報告内容などを明確にし、従業員に周知します。

報告されたSMSは、セキュリティ担当者などが分析し、スミッシングであるかどうかを判断します。スミッシングであると判断された場合は、関係部署に情報共有し、被害拡大防止に努めることが大切です。報告の流れを明確化することで、早期発見・早期対応が可能となり、被害を最小限に抑えられます。

対策4：不正検知サービスを活用する

SMSの送信内容や送信元情報を分析し、不正なSMSを検知するサービスの活用も、企業・自治体がスミッシングを防ぐ方法のひとつです。

不正検知サービスの導入時は、機能や費用、サポート体制などを比較検討し、自社のニーズに合ったサービスを選びましょう。

対策5：本人認証を強化する

スミッシングの目的のひとつに、ID・パスワードの詐取があります。詐取されたID・パスワードを利用して、不正ログインやなりすましが行われる可能性もあります。

企業や自治体のSMSと偽った不審なSMSを利用者が受信させない仕組みづくりのために、多要素認証（MFA）や生体認証などの本人認証を強化しましょう。多要素認証とは、ID・パスワードに加えて、SMS認証やアプリ認証などの複数の認証要素を組み合わせることで、セキュリティを向上させる方法です。

生体認証とは、指紋認証や顔認証などの生体情報を用いて本人認証を行う方法です。本人認証を強化することで、万が一ID・パスワードが詐取された場合でも、不正ログインを防げます。

多要素認証で活用したいのが、SMS配信サービス・SMAPSです。SMAPSは国内で初めて経済産業省に認定されたサービスであるため、安心して利用できます。

SMS配信サービス「SMAPS」はこちら

【企業・自治体向け】利用者からスミッシング被害報告があった際の対処法

万が一スミッシング被害の報告があった場合には、迅速かつ適切な対応が必要です。本章では、企業・自治体向けに、利用者からスミッシング被害報告があった際の具体的な対処法を解説します。

1. 被害状況の把握と初期対応

まず、被害者から詳細な状況をヒアリングし、以下の情報を収集します。

受信したSMSの内容
URLをクリックしたかどうか
個人情報（ID、パスワード、クレジットカード情報など）を入力したかどうか
アプリをインストールしたかどうか
その他、不審な点

これらの情報を基に、被害の範囲と深刻度を迅速に評価します。利用者がURLをクリックしてしまった場合や、個人情報を入力してしまった場合は、以下の初期対応を行います。

パスワードの変更: 入力してしまったパスワードを速やかに変更するよう指示
クレジットカード会社への連絡: クレジットカード情報を入力してしまった場合は、カード会社に連絡し、利用停止や不正利用の監視を依頼
インストールしたアプリの削除: 不審なアプリをインストールしてしまった場合は、速やかに削除し、セキュリティソフトで端末をスキャンするよう指示

2. 関係各所への報告と連携

被害状況を把握したら、速やかに以下の関係各所へ報告・連携を行います。

社内（組織内）の担当部署: 情報システム部門やセキュリティ担当部門、広報部門など、関係する部署に報告し、連携体制を構築
警察庁: 被害状況に応じて、警察庁のサイバー犯罪相談窓口に相談
消費者庁: 消費者からの相談窓口として、消費者庁にも情報提供
関係機関: 金融機関やECサイト運営会社、携帯キャリアなど、スミッシングに利用された可能性のある企業・団体に情報提供し、連携して対応を検討

3. 被害拡大の防止策

被害が拡大するのを防ぐために、以下の対策を講じます。

注意喚起: 自社のWebサイトやSNS、メールなどを通じて、利用者や従業員にスミッシングの手口や対策方法を周知し、被害に遭わないよう呼びかけ
類似SMSの監視: 同様のSMSが他に送信されていないか監視体制を強化
システム改修: 必要に応じて、システムの脆弱性を修正し、セキュリティ対策を強化

4. 原因究明と再発防止策

今回のスミッシング被害の原因を究明し、再発防止策を策定します。

原因の特定: どのような経路でスミッシングが発生したのか原因を特定
対策の検討: 原因に基づき、具体的な再発防止策を検討（SMS認証の強化、セキュリティシステムの導入など）
対策の実施: 検討した対策を速やかに実施
効果の検証: 実施した対策の効果を検証し、必要に応じて改善

5. 被害者へのサポート

スミッシング被害に遭われた方への精神的なサポートも重要です。

相談窓口の設置: 被害者からの相談を受け付ける窓口を設置し、適切なアドバイスや情報を提供
FAQの作成: スミッシングに関するよくある質問とその回答をまとめ、Webサイトなどで公開
専門家への紹介: 必要に応じて、弁護士やカウンセラーなどの専門家を紹介

スミッシングの最新動向：巧妙化する手口と今後の対策

スミッシングの手口は日々巧妙化しており、従来の対策だけでは防ぎきれないケースが増加しています。本章では、スミッシングの最新動向と、今後取るべき対策について解説します。

AIを活用したスミッシングの登場

近年、自然な文章を作成したり、ターゲットの属性に合わせたメッセージを生成したりできるAI技術を悪用したスミッシングが登場しています。不自然な表現が減り、より巧妙で信じやすいSMSの作成が可能です。

具体的には、過去の詐欺事例やターゲットの個人情報を分析し、より効果的なメッセージを作成したり、ユーザーの反応に応じてAIが会話の流れをリアルタイムで変更したり、AIが生成した偽の画像や動画をSMSに添付したりする方法があります。

これらのAI技術により、スミッシングはより巧妙化し、見破ることが難しくなっています。

国際的なスミッシング詐欺の増加

スミッシングは、国内だけでなく国際的にも増加傾向です。海外の電話番号から送信されるSMSや、国際的なECサイトを装ったスミッシングも確認されています。

国際的なスミッシング詐欺の特徴としては、以下のような点が挙げられます。

番号が非表示： 国際ネットワーク経由の接続では、発信番号が非表示になることもあり、キャリアを介さないため信頼性に欠ける場合がある
国際的なECサイトを装う： Amazonや楽天などのECサイトを装い、偽のログインページに誘導する
国際宅配業者を装う： FedExやDHLなどの宅配業者を装い、不在通知や関税の支払いを要求する

国際的なスミッシング詐欺は、言語や文化の違いを利用して、ユーザーを騙そうとする手口が特徴です。

参考：株式会社マクニカ「SMS・スミッシングとは？」

今後取るべきスミッシング対策

スミッシングの巧妙化・国際化に対応するためには、従来の対策に加えて、以下の対策を強化する必要があります。

常に最新の情報を収集する: スミッシングの手口は日々変化するため、最新の情報を常に収集し、手口を知る
セキュリティソフトの導入・アップデート: セキュリティソフトを導入し、常に最新の状態に保って悪質なURLへのアクセスや不正なアプリのインストールをブロックする
従業員への教育: 企業や自治体では、従業員に対してスミッシングに関する教育を徹底する
SMSフィルタリングサービスの導入: 不正検知サービスを導入して、不審なSMSを自動的に検知し受信を拒否する

【関連記事】【最新版】SMS送信サービスを徹底比較！選ぶポイントや注意点を解説