スミッシングのメッセージはどのように見分ければいい？

身に覚えのない送信元から届いたSMSは警戒する必要がある。メッセージにURLが記載されている場合は、安易にクリックしないことが重要。日本語の表現が不自然であったり、句読点の使い方がおかしい場合がある。「至急対応してください」や「アカウントが停止されます」など、緊急性を煽る文言が使われていることが多い。公式サイトや公式アプリで告知されていないキャンペーンや情報である場合がある。送信元の電話番号が、通常とは異なる形式（短い番号、国際電話番号など）である場合がある。

スミッシングの被害に遭ってしまった場合、どうすればいいの？

すぐにクレジットカード会社や銀行などの金融機関に連絡し、カードの利用停止や口座の凍結を依頼する。警察庁のサイバー犯罪相談窓口や消費者ホットラインに相談する。パスワードを変更する。不審なアプリをインストールしてしまった場合は、速やかにアンインストールする。携帯電話会社に連絡し、SMSの受信拒否設定や迷惑メッセージの報告を行う。

スミッシングを防ぐためには、どのような対策をすればいいのか？

不審なSMSに記載されたURLは絶対にクリックしない。SMSで個人情報（ID、パスワード、クレジットカード情報など）を入力しない。提供元が不明なアプリはインストールしない。SMS認証を利用している場合でも、届いた認証コードを安易に入力せず、内容をよく確認する。公式アプリやウェブサイトで情報を確認する習慣をつける。スマートフォンのセキュリティ設定を見直し、セキュリティ対策ソフトを導入する。OSやアプリを常に最新の状態に保つ。

スミッシングとは？手口・対策・被害事例をわかりやすく解説

スミッシングとは

SMSを使ったフィッシング詐欺
偽のメッセージでURLをクリックさせ個人情報を盗む
マルウェア感染や金銭詐取が目的

もっとくわしく知りたい方は続きをどうぞ！

スミッシングをわかりやすく
1. スミッシングとは
スミッシングの手口と具体例
スミッシングの手順
スミッシングによる事件
スミッシングについてのよくある質問
スミッシングが生まれた歴史や背景
スミッシングの被害にあってしまいやすい人物や状況
スミッシングのまとめ

スミッシングをわかりやすく

スミッシングとは

スミッシングは、SMS（ショートメッセージサービス）を利用した詐欺の手口。SMSとは、携帯端末間で短い文字のメッセージを送受信できるサービスのこと。これは、電話番号を宛先としてメッセージを送る仕組みであり、携帯電話を持つ多くの人が日常的に利用している。

スミッシングという言葉は、「SMS」と「フィッシング」を組み合わせた造語。フィッシングとは、信頼できる人物や企業を装い、ID、パスワード、クレジットカード情報といった重要な個人情報を騙し取るサイバー攻撃の一種。メールを使った同様の手口はフィッシングメールと呼ばれるが、SMSを使うものがスミッシングと呼ばれる。

スミッシングの主な目的は、メッセージの受信者を欺き、攻撃者にとって有利な行動を取らせることにある。具体的には、SMSに記載されたURLをタップさせ、偽のウェブサイトに誘導することが多い。この偽サイトは、本物のサービスや企業に見せかけて作られており、そこで個人情報（ログイン情報、銀行口座情報、クレジットカード番号など）を入力させる。また、スマートフォンにマルウェア（悪意のあるプログラム）をインストールさせたり、電話番号に電話をかけさせて言葉巧みに金銭を振り込ませたりする手口も存在する。さらに、SMSで送信される認証コードを盗み取ることも目的の一つ。

スミッシングの基本的な概念として重要なのは、これが技術的なシステムの脆弱性を突く攻撃ではなく、人間の心理的な弱点や信頼感を利用するソーシャルエンジニアリングという手法に基づいている点。攻撃者は、実在する企業やサービス（宅配業者、金融機関、ECサイト、携帯キャリア、公的機関など）を装うことで、受信者に詐欺であると疑わせにくくする。SMSという個人的な通信手段を用いることで、受信者の警戒心を弱める効果もあると考えられている。受信者が関心を持つような状況を演出し、例えば不在通知やアカウント情報の更新といったもっともらしい内容を提示することで、メッセージに信憑性を持たせる。加えて、受信者の感情を操作し、例えば「至急」といった言葉で焦りや不安を煽ることで、冷静に考える余裕を与えないように仕向けるのも、スミッシングの常套手段。

SMSが直接的で個人的な通信手段として広く信頼されていることが、スミッシングの有効性を高めている。電子メールは、迷惑メールフィルターの普及などにより、以前ほど受信者に届きにくくなっている。一方、SMSは携帯電話番号に直接送信されるため、開封率が高い傾向にある。多くの人が、企業やサービスからの正当なメッセージ（予約確認、配送状況の更新など）をSMSで受け取ることに慣れている。この慣れが、不正なメッセージに対する警戒心を低下させる可能性がある。

さらに、SMSを使った二要素認証の普及も、スミッシングの成功に間接的に影響を与えているかもしれない。多くのオンラインサービスがセキュリティ強化のためにSMSで認証コードを送信する仕組みを導入している。これにより、ユーザーは重要なセキュリティ情報がSMSで送られてくることを期待し、信頼するようになっている。巧妙なスミッシング攻撃は、このような正当なセキュリティ通知を模倣することで、ユーザーを騙しやすくなっていると考えられる。

スミッシングの手口と具体例

スミッシングの手口は多岐にわたるが、ここではいくつかの具体的な例を紹介する。

宅配業者を装う手口：「お客様宛のお荷物をお届けにあがりましたが不在のため持ち帰りました。ご確認ください。」といった不在通知を装ったSMSが送られてくる。メッセージには、不在票に見せかけた偽のURLが記載されており、クリックすると再配達の手続きを装った偽のウェブサイトに誘導される。偽サイトでは、氏名、住所、電話番号だけでなく、クレジットカード情報や認証コードの入力を求められる。また、配送状況の確認や再配達手続きを装い、マルウェアを仕込んだアプリのインストールを促すケースもある。この手口は、オンラインショッピングの普及と宅配サービスの利用頻度の高さを利用しており、多くの人が引っかかりやすい。荷物の到着を心待ちにしている心理につけ込み、URLを安易にクリックさせてしまう。
金融機関を装う手口：「【重要】お客様の口座情報が不正に利用された可能性があります。至急ご確認ください。」といった緊急性の高いメッセージが送信される。メッセージ内のURLをクリックすると、本物の金融機関のウェブサイトに酷似した偽のログインページに誘導される。偽サイトでID、パスワード、口座番号、暗証番号などの重要な金融情報を入力させ、不正に利用する。セキュリティ強化や個人情報更新手続きを装う場合もある。金銭的な損失への恐怖は非常に強く、このようなメッセージを受け取ると、多くの人が冷静さを失い、すぐにリンクをクリックしてしまう。
ECサイトを装う手口：「【重要】お客様のアカウント情報更新が必要です。」や「お支払い方法に問題があります。」といったメッセージが送信される。メッセージに記載されたURLをクリックすると、偽のECサイトに誘導され、ログイン情報やクレジットカード情報などの個人情報を入力させようとする。キャンペーン当選や限定オファーを装い、個人情報を入力させるケースもある。多くの人が複数のECサイトのアカウントを持ち、日常的にこれらのサイトからの通知を受け取っているため、偽のメッセージを見分けるのが難しい場合がある。お得な情報への期待感も、判断を鈍らせる要因となる。
携帯キャリアを装う手口：「【重要なお知らせ】通信料金未払いのため、サービスを停止します。」といったメッセージで不安を煽り、偽の支払いサイトへ誘導する。システム障害やセキュリティアップデートを装い、偽のアプリをインストールさせようとする。携帯電話は現代社会において不可欠なインフラであり、サービス停止への不安は大きい。そのため、このようなメッセージを受け取ると、内容をよく確認せずにリンクをクリックしてしまう可能性がある。
公的機関を装う手口：税務署や年金機構などを装い、「未払い料金があります。」や「重要なお知らせ」といったSMSを送信し、偽のウェブサイトに誘導して個人情報を詐取する。COVID-19に関する給付金やワクチン接種に関する情報を装うケースもあった。公的機関からの連絡は信頼性が高いと一般的に認識されているため、このような偽のメッセージは特に効果が高い。国民生活センターや自治体などが注意喚起を行っているにもかかわらず、被害は後を絶たない

スミッシングの手順

スミッシングを実行される一般的な手順

1
攻撃者の準備段階

攻撃者は詐欺の目的（金銭詐取、個人情報窃取、マルウェア感染など）を明確にする。次に、ターゲットとする層（特定のサービス利用者、地域住民など）を選定する。そして、送信元の電話番号を偽装する手段（SMS送信サービス、国際電話番号、使い捨てSIMなど）を用意する。最後に、誘導先の偽ウェブサイト（ログインページ、情報入力フォームなど）や、仕込むマルウェアを作成する。
2
メッセージの送信（配布）段階

準備が整うと、攻撃者は大量のSMSメッセージを、標的の電話番号リストに対して無差別に、または特定の条件に基づいて送信する。メッセージの内容は、受信者の注意を引き、URLをクリックしたり、何らかの行動を起こさせたりするように工夫される。緊急性や重要性を強調する言葉を用いることで、受信者を焦らせ、冷静な判断を妨げる。
3
受信者のアクション（侵害）段階

受信者がスマートフォンに届いたSMSメッセージを開封し、内容を確認する。そして、メッセージ内に記載されたURLリンクをタップする。タップされたURLは、攻撃者が用意した偽のウェブサイトへと誘導する。
4
情報の入力またはマルウェア感染段階

偽のウェブサイト上で、ID、パスワード、クレジットカード情報、銀行口座情報、住所、電話番号などの個人情報を入力してしまう。また、偽サイトにアクセスしただけ、または指示に従って特定の操作を行うことで、スマートフォンにマルウェアがダウンロードされ、インストールされてしまう場合もある。
5
情報の悪用（実行）段階

攻撃者は、入力された個人情報を不正に利用する（例：不正ログイン、クレジットカードの不正利用、銀行口座からの不正送金、なりすまし詐欺など）。インストールされたマルウェアが、スマートフォン内の個人情報を盗み取ったり、遠隔操作を行ったりすることもある。盗まれた個人情報は、他の犯罪に利用されたり、ダークウェブなどの闇市場で売買されたりする。
6
二次被害の発生段階

盗まれた情報を利用して、被害者の友人や知人に成りすましてさらなる詐欺行為を行うことがある。また、ランサムウェアを仕掛け、スマートフォン内のデータを暗号化し、復旧と引き換えに金銭を要求するケースも報告されている。

SMSという通信手段の速さと匿名性が、詐欺メッセージを多数の潜在的な被害者に迅速に拡散させることを容易にしている。電子メールと比較して、SMSはスパムフィルターによる対策がまだ十分ではないため、攻撃者はより多くの人にメッセージを届けることができる。

近年、スミッシング攻撃の手口は巧妙化しており、正規のウェブサイトの外観を模倣するだけでなく、「ネイバースプーフィング」と呼ばれる手法も用いられることがある。これは、ターゲットの電話番号と類似した番号を送信元として使用することで、受信者に親近感や信頼感を与え、警戒心を解くことを狙ったもの。

スミッシングによる事件

スミッシングによる被害は後を絶たない。過去に発生した有名な事件をいくつか紹介する。

COVID-19関連のスミッシング詐欺：パンデミックの初期には、政府機関や医療機関を装い、接触確認アプリのインストールを促したり、給付金申請に関する偽の情報を流したりするスミッシングが多発した。これらの詐欺は、社会全体の不安や混乱に乗じて個人情報を詐取したり、不正なアプリをインストールさせたりすることを目的としていた。世界的な危機や大きなニュースが発生すると、攻撃者は人々の関心や情報へのニーズを利用して、新たなスミッシング攻撃を仕掛ける傾向がある。
大手宅配業者を装ったスミッシング：不在通知や再配達依頼を装ったSMSが広範囲に送信され、偽のウェブサイトに誘導してクレジットカード情報や個人情報を盗み取る手口が頻繁に報告されている。これは、多くの人が日常的にオンラインショッピングを利用し、宅配便の利用頻度が高いことを悪用した手口。オンラインショッピングと宅配サービスの普及により、これらのブランドはなりすましの対象として非常に効果的であり、多くの人が潜在的なターゲットとなる。
金融機関を装った巧妙なスミッシング：セキュリティ警告や口座情報の確認を装い、非常に巧妙に作られた偽のログインページに誘導するスミッシング攻撃が発生している。これらの偽サイトは、本物のウェブサイトと見分けがつかないほど精巧に作られており、多くの利用者が騙されてしまう。これらの攻撃の高度化は、現実的なウェブサイトのデザインと説得力のある言葉遣いの使用を含み、技術に精通したユーザーでさえも、正当な通信と区別することを困難にしている。

事件の種類	概要	影響
COVID-19関連スミッシング	接触確認、給付金、公衆衛生情報を装い、個人情報や金銭を詐取	広範囲に被害が拡大、高齢者など情報弱者が狙われやすい
大手宅配業者・ECサイト偽装スミッシング	不在通知、再配達、アカウント更新などを装い、クレジットカード情報やログイン情報を詐取	日常的にオンラインサービスを利用する多くの人が被害に遭う可能性
金融機関偽装スミッシング	口座不正利用の警告、セキュリティ強化などを装い、口座情報や暗証番号を詐取	直接的な金銭的被害が発生する可能性が高い

スミッシングについてのよくある質問

Q スミッシングのメッセージはどのように見分ければいい？: A

身に覚えのない送信元から届いたSMSは警戒する必要がある。メッセージにURLが記載されている場合は、安易にクリックしないことが重要。日本語の表現が不自然であったり、句読点の使い方がおかしい場合がある。「至急対応してください」や「アカウントが停止されます」など、緊急性を煽る文言が使われていることが多い。公式サイトや公式アプリで告知されていないキャンペーンや情報である場合がある。送信元の電話番号が、通常とは異なる形式（短い番号、国際電話番号など）である場合がある。

Q スミッシングの被害に遭ってしまった場合、どうすればいいの？: A

すぐにクレジットカード会社や銀行などの金融機関に連絡し、カードの利用停止や口座の凍結を依頼する。警察庁のサイバー犯罪相談窓口や消費者ホットラインに相談する。パスワードを変更する。不審なアプリをインストールしてしまった場合は、速やかにアンインストールする。携帯電話会社に連絡し、SMSの受信拒否設定や迷惑メッセージの報告を行う。

Q スミッシングを防ぐためには、どのような対策をすればいいのか？: A

不審なSMSに記載されたURLは絶対にクリックしない。SMSで個人情報（ID、パスワード、クレジットカード情報など）を入力しない。提供元が不明なアプリはインストールしない。SMS認証を利用している場合でも、届いた認証コードを安易に入力せず、内容をよく確認する。公式アプリやウェブサイトで情報を確認する習慣をつける。スマートフォンのセキュリティ設定を見直し、セキュリティ対策ソフトを導入する。OSやアプリを常に最新の状態に保つ。

スミッシングが生まれた歴史や背景

スミッシングは、インターネットの黎明期から存在するフィッシング詐欺の手法が、スマートフォンの普及とSMSの利用拡大に合わせて進化したもの。当初は、電子メールを悪用したフィッシング詐欺が主流であったが、SMSの到達率と開封率の高さに着目した攻撃者が、その手法をSMSに応用し始めた。技術の進歩は、常に悪意のある活動のための新たな道を開く。電子メールからSMSへの移行は、この傾向を示す典型的な例。

二要素認証（2FA）の普及は、セキュリティ強化に貢献する一方で、スミッシングの手口を巧妙化させる要因の一つともなった。SMSで送信される認証コードを騙し取る手口が登場し、セキュリティ対策を逆手に取った攻撃が確認されるようになった。セキュリティ対策は一般的に有益であるが、時には攻撃者によって新たな悪用の機会が生まれることがある。SMSを利用した2FAの広範な採用は、まさにそのような状況を作り出したと言える。

近年では、AI技術の進歩により、より自然で巧妙な文章のSMSメッセージが作成されるようになり、被害が拡大する傾向にある。

特定のターゲット層に合わせた、よりパーソナライズされたスミッシング攻撃も確認されており、注意が必要。攻撃者とセキュリティ対策との間の絶え間ない攻防は、常に警戒と適応を必要とする。セキュリティ対策が向上するにつれて、攻撃者はそれを回避するためにより洗練された技術を開発する。この継続的なサイクルは、ユーザー教育とより優れた検出および防止方法の開発の重要性を強調している。

スミッシングの被害にあってしまいやすい人物や状況

スミッシングの被害にあってしまいやすい人物には、インターネットやスマートフォンの操作に不慣れな高齢者や情報弱者が挙げられる。また、オンラインショッピングや宅配サービスの利用頻度が高い人も注意が必要。セキュリティ意識が低く、安易にURLをクリックしたり、個人情報を入力したりする傾向がある人も危険性が高い。さらに、緊急性の高い連絡やお得な情報にすぐに反応してしまう、注意深い判断を怠りがちな人も被害に遭いやすい。複数のオンラインサービスで同じIDやパスワードを使い回している人も、一つの情報漏洩から被害が拡大する可能性があるため注意が必要。

被害にあいやすい状況としては、仕事中や移動中など、時間に追われていたり、注意力が散漫になっている時が挙げられる。疲労やストレスが溜まっているなど、判断力が低下している時も危険。公共のWi-Fiなど、セキュリティ対策が不十分なネットワーク環境でスマートフォンを利用している時も注意が必要。また、スマートフォンのOSやアプリのアップデートを怠っている場合も、セキュリティの脆弱性を突かれる可能性がある。特定の脆弱性を理解することは、的を絞った予防策を講じる上で重要となる。誰が最もリスクが高いのか、どのような状況下でリスクが高まるのかを把握することで、教育キャンペーンやセキュリティツールを、特定の脆弱性に対処するように適切に調整できる。