スミッシングとは何か：身近なSMSを悪用した詐欺の仕組みと対策

スミッシング（Smishing）は、SMSを悪用して偽サイトへ誘導し、個人情報や金銭を詐取する詐欺手口です。近年は宅配・金融・官公庁を名乗る偽SMSが増加し、生成AIの悪用によって文面が多様化・高度化しています。
さらに、偽SMSから不正アプリを導入すると、端末が攻撃者に支配され、所有者が気づかないまま他者へ偽SMSを大量送信するボットネットの一部となる事例も確認されています。

本記事では、最新の国内動向にもとづき、手口の特徴・見分け方・対策・被害時の対応をわかりやすく解説し、読者が「怪しいSMSに触れる前に立ち止まる」ための実践的ポイントを示します。

スミッシングとは何か

スミッシング(Smishing)とは、「SMS」と「フィッシング(Phishing)」を組み合わせた造語で、SMSを使ったフィッシング詐欺のことを指します。犯罪者が正規の企業や公的機関を名乗り、SMSで緊急性の高いメッセージを送信し、受信者に不安や焦りを感じさせてリンクをクリックさせることで、偽のウェブサイトに誘導したり、マルウェアをインストールさせたりします。

フィッシングとの違い(スミッシングが特に危険な理由)

スミッシングは従来の電子メールによるフィッシング詐欺と比較して、いくつかの点で特に危険性が高いとされています。

• 開封率の高さ：SMSの開封率は電子メールと比べて圧倒的に高い
• 即時性：SMSは通知音とともに画面に表示されるため、すぐに確認される傾向がある
• 信頼性：多くの人がSMSを公式な連絡手段と認識しており、警戒心が薄い
• 短文形式：文字数制限があるため、詳細を確認せずにリンクをクリックしやすい

特に注意が必要な方々

スミッシングは誰もが被害に遭う可能性がありますが、特定の層はより注意が必要です。

お年寄りの方

スマートフォンやインターネットに不慣れな場合が多く、詐欺メッセージを見抜くことが難しいことがあります。また、銀行や公的機関といった権威のある組織を名乗られると、疑うことなく信じてしまう傾向があり、緊急性を強調されると焦ってしまい、冷静な判断ができなくなることもあります。

お子さん

スマートフォンの操作には慣れていても、詐欺の手口や危険性についての知識が不足していることがあります。「当選しました」「無料でゲームアイテムがもらえます」といった魅力的な言葉に惹かれて、安易にリンクをクリックしたり、個人情報を入力したりしてしまう危険性があります。

スマートフォンを使い始めたばかりの方も、デジタル機器に不慣れで、正規のメッセージと詐欺メッセージの見分け方がわからず、被害に遭いやすい状況にあります。こうした方々がいるご家庭では、家族全体でスミッシングについての知識を共有し、定期的に注意喚起することが大切です。

スミッシングの主な手口

宅配業者を装った不在通知

最も一般的な手口の一つが、宅配業者を装ったSMSです。

典型的なメッセージ例：
「お荷物をお届けに上がりましたが、不在のため持ち帰りました。こちらから再配達の手配をお願いします。[URL]」

リンクをクリックすると、本物そっくりの偽サイトに誘導され、氏名や住所、電話番号のような情報を入力するよう求められます。
また、スマートフォンにマルウェア(悪意のあるソフトウェア)をインストールさせる手口もあります。

金融機関を装った緊急連絡

銀行やクレジットカード会社を装い、アカウントの異常や本人確認を名目にメッセージを送る手口です。

メッセージ例：
「【重要】お客様のアカウントで不正利用の可能性が検出されました。直ちにこちらから本人確認を行ってください。[URL]」

緊急性を装うことで、受信者の判断力を鈍らせ、急いで行動させようとします。

公的機関を装った通知

税務署、警察、裁判所などの公的機関を装う手口も増加しています。

メッセージ例：
「国税庁です。未払いの税金があります。至急こちらから確認してください。」
「交通違反の罰金が未納です。こちらで支払い手続きを行ってください。」

公的機関の名前を使うことで、権威性を演出し、恐怖心を煽ります。

ECサイトやサブスクリプションサービスを装った連絡

大手ECサイトや動画配信サービスなどを装い、「アカウントが停止された」「支払い情報の更新が必要」などと通知する手口です。

メッセージ例：
「（大手ECサイト名）アカウントのセキュリティ上の理由により、アカウントがロックされました。24時間以内に解除手続きを行ってください。[URL]」

実際に利用しているサービスを装われると、つい信じてしまう可能性が高まります。

当選詐欺・懸賞詐欺

「おめでとうございます!高額賞金が当選しました」といった内容で、個人情報の入力や手数料の支払いを求める古典的な手口も、SMSで行われています。

最新の手口：AI活用とソーシャルエンジニアリング

2025年現在、以下のような新しい手口も出現しています。

- パーソナライズされたメッセージ：SNSなどから収集した情報を基に、個人に合わせたメッセージを送信
- 二段階認証の悪用：正規の二段階認証コードを盗み取るために、偽のログインページを用意

スミッシングの特徴と見分け方

以下のような特徴があるメッセージには注意が必要です。

1. 送信元が不明確
- 企業名が正確でない
- 電話番号が通常の企業の番号と異なる
- 送信元が数字の羅列のみ

2. 緊急性を煽る内容
- 「24時間以内に」「至急」「緊急」などの言葉
- 「アカウント停止」「不正利用検知」などの脅し文句
- 期限を設定して焦らせる

3. 個人情報の入力を求める
- 正規の企業はSMSで個人情報の入力を求めることはほとんどない
- クレジットカード情報、パスワードなどの入力要求

4. 不自然なURL
- 短縮URLが使用されている
- 企業の公式ドメインと異なる
- スペルが微妙に異なる(例:amazon.com → arnazon.com)

5. 日本語の不自然さ(ただし生成AIにより不自然さは少なくなっている)
- 文法の誤り
- 不自然な表現
- 機械翻訳のような文章

URLの確認方法

リンクをクリックする前に、以下の点を確認しましょう。

• 公式ドメインとの比較：企業の公式サイトのドメインと一致するか確認
• https://の確認：ただし、偽サイトでもhttpsを使用している場合があるため、これだけでは不十分
• URL短縮サービスに注意：bit.lyなどの短縮URLは、実際の遷移先が分からないため危険

スミッシングの対策

基本的な心構え

受信したSMSがどんなに正規のものに見えても、まずは疑ってかかることが重要です。特に、緊急性を強調するメッセージや、個人情報の入力を求めるメッセージには十分な注意が必要です。「至急」「今すぐ」といった言葉で焦らされても、一旦落ち着いて状況を確認しましょう。本当に緊急の用件であれば、企業は複数の方法で連絡してくるはずです。SMS内のリンクは、送信元が信頼できると確信できる場合を除き、クリックしないことが鉄則です。

SMS受信の設定による対策

スミッシングの被害を防ぐために、スマートフォンやキャリアが提供するSMS受信設定を活用することが非常に効果的です。多くの携帯電話会社では、URL(リンク)が含まれるSMSを自動的にブロックする機能を提供しています。この設定を有効にすることで、スミッシングの主要な手口であるリンククリックを根本から防ぎ、不審なサイトへのアクセスリスクを大幅に軽減できます。設定後は自動的にブロックされるため、手間もかかりません。

ただし、正規の企業からのURL付きメッセージも受信できなくなり、宅配便の追跡リンクや銀行からの重要なお知らせなども届かない可能性があります。必要に応じて、信頼できる送信元を個別に許可設定する必要があります。

スミッシングは海外の電話番号や不審な番号から送信されることが多いため、海外からのSMSを受信する必要がない場合は、国際SMS自体を拒否する設定にすることが有効です。また、送信元が非通知のSMSを拒否する設定も効果的で、正規の企業は通常、非通知でSMSを送信することはありません。特定の怪しい番号からSMSが届いた場合は個別にブロックすることもできますが、送信者は番号を頻繁に変更するため、この方法だけでは完全な対策にはなりません。

携帯電話会社が提供する迷惑SMSフィルタリングサービスを利用することで、より高度な保護が可能です。既知の詐欺番号からのSMSを自動ブロックしたり、疑わしいキーワードを含むメッセージの検出、AIによる詐欺メッセージの判定、ユーザーからの報告をもとにしたデータベースの更新などの機能が提供されています。

お子さんやお年寄りのための設定

特にスマートフォンに不慣れな方やお子さんの端末では、より厳格な設定をおすすめします。お子さんの端末では、URL付きSMSと国際SMSは原則拒否に設定し、ペアレンタルコントロール機能を活用して保護者が受信SMSを確認できるようにします。不審なメッセージを受け取ったら、すぐに保護者に報告するよう教育することも重要です。

お年寄りの端末でも、URL付きSMSと国際SMSは原則拒否に設定し(必要な場合のみ個別に許可)、家族が定期的に受信メッセージを一緒に確認します。「わからないメッセージが来たら家族に相談する」というルールを共有しておくことが大切です。

具体的な対策方法

SMSで連絡が来た場合、そのメッセージ内のリンクをクリックするのではなく、企業の公式ウェブサイトにブラウザから直接アクセスするか、公式アプリから確認する、企業の公式カスタマーサポートに電話で問い合わせる、通帳記帳やアプリで取引履歴を確認するといった方法で確認しましょう。宅配便の場合は、伝票番号があれば公式サイトの追跡サービスで確認でき、不在票が実際に投函されているかも確認しましょう。

やむを得ずリンクを確認する必要がある場合は、ドメイン名が正規のものか確認し(例:amazon.co.jpが正規、am4zon.comは偽物)、httpsで始まる安全な接続か確認します。短縮URLは展開して実際のURLを確認し(短縮URL展開サービスを利用)、不自然なサブドメインや長いURLには注意してください。

正規のウェブサイトであっても、銀行口座の暗証番号、クレジットカードの全情報、マイナンバー、運転免許証番号、パスワードなどの情報をSMS経由のリンクから入力することは避けましょう。多くの正規企業は、SMSで個人情報の入力を求めることはありません。

不正なアプリのインストールを促すスミッシングも増えています。アプリは必ず公式のアプリストア(App Store、Google Play)からインストールし、「提供元不明のアプリ」のインストールを許可しない設定にします。アプリをインストールする前に、レビューや提供元を確認することも重要です。

家族全体での対策

スミッシング対策は、個人だけでなく家族全体で取り組むことが重要です。家族会議などで最新のスミッシング手口について話し合い、実際に受信した不審なSMSを家族で共有します。お子さんには、インターネットやSMSの危険性について年齢に応じて説明し、不審なメッセージを受け取ったら必ず保護者に相談するよう伝えます。個人情報を安易に入力しないことの重要性を教え、「無料」「当選」といった魅力的な言葉に惑わされないよう注意を促します。

お年寄りへは、スマートフォンの使い方を一緒に確認し、不審なメッセージの見分け方を教えます。定期的に受信メッセージを一緒にチェックし、焦らず、わからないことは家族に相談するよう伝えます。公的機関や金融機関は、SMSで個人情報を求めないことを説明することも大切です。

不審なメッセージを受け取った際の相談先(家族の連絡先、警察、消費者ホットラインなど)を、わかりやすい場所にメモしておきます。特にお年寄りやお子さんには、紙に書いて目につく場所に貼っておくことも効果的です。

万が一被害に遭ってしまったら

どんなに注意していても、巧妙な手口に引っかかってしまうことがあります。被害に遭った、または遭った可能性がある場合は以下を確認しましょう

即座に行うべき対応

1. 情報入力を停止
個人情報やクレジットカード情報の入力を即座に中止します。

2. 金融機関への連絡
- クレジットカード情報を入力した場合：カード会社に連絡し、カードを停止
- 銀行口座情報を入力した場合：銀行に連絡し、口座の監視や停止を依頼

3. パスワードの変更
入力したアカウントのパスワードを、別の安全な端末から直ちに変更します。

4. 端末のチェック
- アプリをダウンロードした場合は、すぐにアンインストール
- セキュリティソフトでスキャンを実行
- 必要に応じて、端末の初期化を検討

被害の報告

警察に被害届を提出しましょう。以下の情報を準備します。

• 受信したSMSのスクリーンショット
• アクセスしたURLの記録
• 入力した情報の内容
• 被害の詳細(金銭的被害があれば金額など)

上記の情報を準備し、警察に相談(最寄りの警察署または#9110)、フィッシング対策協議会に報告(https://www.antiphishing.jp/)、消費者ホットライン(188)に相談します。早期の対応が被害の拡大を防ぐ鍵となります。恥ずかしがらずに、すぐに専門機関に相談することが大切です。

Q&A

Q. 銀行や公的機関は、本当にSMSで連絡してこないのですか?

A. 一概には言えませんが、以下が一般的です。

銀行：取引確認や二段階認証のコード送信には使用しますが、個人情報の入力を求めるSMSは送りません 公的機関：税務署や裁判所がSMSで支払いを求めることは基本的にありません。公式な通知は郵送が原則です

不明な場合は、SMSに記載された連絡先ではなく、公式サイトに記載された番号に問い合わせましょう。

最新のiPhoneやAndroidであれば、スミッシングの被害に遭わないのでしょうか?

A. 残念ながら、最新の端末でも完全に安全とは言えません。OSのセキュリティ機能は向上していますが、スミッシングは主に「人の心理」を突く攻撃であり、技術だけでは防げません。

重要なのは：
最新のOSにアップデートすること(技術的な脆弱性への対策)
ユーザー自身がスミッシングの手口を理解すること(心理的な防御)

この両方を組み合わせることが最も効果的です。

まとめ