電話番号宛てに届く偽SMSで偽サイトへ誘導するスミッシング
対象の目安: 一般利用者から情報システム担当まで

スミッシング(smishing)は、SMS(ショートメッセージサービス)で偽のメッセージを送り、受け取った人を偽サイトや不正アプリへ誘導するフィッシングの一種です。名称はSMSとフィッシング(phishing)を組み合わせた造語で、入口がメールやWebサイトではなくSMSである点が特徴です。宅配の不在通知や銀行、携帯電話会社の連絡を装い、本文に載せたURLから偽サイトへ導いてIDやパスワード、クレジットカード番号を入力させる狙いは、従来のフィッシングと変わりません。
警察庁は、携帯電話の電話番号宛てに送れるSMSを悪用し、携帯電話会社や宅配業者、銀行をかたって本物そっくりの偽サイトへ誘導する事例を多数確認していると説明しています。IPAの「情報セキュリティ10大脅威 2026」でも、個人向けの脅威として「フィッシングによる個人情報等の詐取」が引き続き挙げられています。本記事では、一般利用者と組織の双方に向けて、SMSが狙われる仕組みと典型的な手口、見分け方と対処を整理します。
SMSが偽メッセージの入口に選ばれる仕組み
スミッシングがメールのフィッシングと並んで使われるのは、SMSという連絡手段の性質が攻撃者にとって都合がよいためです。SMSは相手の電話番号さえ分かれば送れる連絡手段で、本文が短く、通知も電話やメッセージと同じ画面に並びます。利用者は届いたメッセージを家族や取引先からの連絡と同じ感覚で開くため、迷惑メールフォルダで仕分けられるメールに比べて本文が読まれやすくなります。
短い本文という形式も、利用者が遷移先を確かめにくい状況を作ります。メールであれば差出人のアドレスや署名、本文の体裁から不審さに気づける場合がありますが、SMSは数行のテキストと一つのURLだけで完結することが多く、判断の手がかりが乏しくなります。加えて、表示される送信元の番号や名前が正規の事業者と同じに見えることもあります。表示のされ方は通信経路や配信方式によって異なりますが、正規の名前や番号で届いたように見えても本物とは限らないため、送信元の番号や表示名、よく似た番号を手がかりに信用するのは避けます。
URLの確認しにくさも、スミッシングが成立しやすい一因です。スマートフォンは画面が小さく、ブラウザのアドレスバーに表示されるドメインの末尾まで読み取りにくいうえ、SMSに短縮URLが使われていると、タップして展開するまで遷移先のドメインが分かりません。攻撃者はこうした表示の隙を突き、利用者が遷移先を確かめないままリンクを開くよう仕向けます。
ここで正確に押さえておきたいのは、リンクを開いた時点で被害が確定するわけではないという点です。多くのスミッシングは、開いた先の偽サイトで利用者が認証情報やカード番号を入力したり、案内に従って不正なアプリをインストールしたりして初めて成立します。したがってリンクを開くこと自体より、表示されたページで情報を入力したりアプリを入れたりする前に立ち止まれるかどうかが分かれ目になります。
攻撃者が偽SMSで誘い込む典型的な手口
攻撃者は、利用者が連絡を待っている場面や、確認を急ぎたくなる文面を選んで偽SMSを送り込みます。代表的な一つが、宅配の不在通知を装う手口です。攻撃者は「お荷物のお届けにあがりましたが不在のため持ち帰りました」といった文面で偽の不在通知を送り、本文のURLから偽サイトへ誘導します。IPAは、宅配便業者を装う偽SMSが継続して報告されていると注意を促しています。
もう一つの典型が、携帯電話会社や銀行、カード会社を装う手口です。攻撃者は「利用料金の支払いが確認できない」「アカウントがロックされた」といった文面で不安をあおり、偽サイトでIDやパスワード、カード情報を入力させます。警察庁の相談事例にも、クレジットカード会社をかたってカード情報を入力させる手口や、通販サイトをかたってアカウントのロック解除を理由にIDとパスワードを入力させる手口が挙げられています。税や還付の連絡を装う文面が使われることもあります。
偽サイトでの情報入力にとどまらず、不正なアプリのインストールへ誘導する手口も報告されています。攻撃者はSMSのURLから偽サイトへ導いたうえで、セキュリティ対策などを口実にアプリのインストールを促します。JC3は、通信事業者を装うSMSで不正アプリをインストールさせ、ネットワーク暗証番号などを詐取する手口を確認していると説明しています。導入された不正アプリは、端末から偽SMSを大量に送信したり、端末内のデータを盗んだりするために使われると報告されています。
AndroidとiPhoneで変わる誘導の手口
不正アプリへの誘導は、利用している端末によって手口が分かれます。JC3の整理によると、Android端末では、公式ストアを経由せずに不正なアプリ(apk形式のファイル)を直接ダウンロードしてインストールさせる手口が使われます。Androidには提供元が確認できないアプリのインストールを制限する仕組みがあり、攻撃者はこの制限を解除するよう利用者を誘導します。警察庁の事例にも、宅配業者をかたる不在通知のSMSから偽アプリを入れさせ、端末内の電話帳情報を盗む手口が挙げられています。
iPhoneでは、別の経路が悪用されると報告されています。JC3は、iPhoneでは構成プロファイルを悪用して不正アプリをインストールさせる手口が確認されていると説明しています。構成プロファイルは本来、端末の設定をまとめて管理するための仕組みですが、これを悪用して通常とは異なる経路でアプリを入れさせる点が問題になります。IPAは、iPhoneでは偽サイトでApple IDの認証情報やクレジットカード情報を入力させる手口も確認されているとしています。
端末ごとに経路は異なりますが、利用者に通常とは違う操作を求めるという点は共通しています。提供元が確認できないアプリのインストール制限を解除させる操作も、構成プロファイルのインストールを許可させる操作も、本来であれば慎重に扱うべき設定変更です。こうした操作を求められた時点で、いったん手を止めて正規の経路から確認することが、不正アプリの導入を避ける手がかりになります。
偽SMSを見分けて対処する手順
届いたSMSを見分ける起点になるのは、本文の内容と送信元の表示が、自分の状況や普段の連絡と合っているかという点です。注文した覚えのない荷物の不在通知や、利用していないサービスからの請求や警告は、文面が本物らしくても疑う理由になります。前述のとおり、送信元の番号や表示名は正規の事業者と同じに見えることがあるため、表示名や番号が正しく見えても、それだけで本物と判断はできません。
最も確実なのは、SMS本文のリンクを開かずに、公式アプリや自分のブックマーク、検索で確認した正規サイトから状況を確かめる方法です。フィッシング対策協議会も、メールやSMSのリンクは開かず、公式サイトや公式アプリからアクセスすること、個人情報をすぐに入力しないことを利用者向けの基本として挙げています。同じ確認でも、入口を信頼できる経路に置き換えることで偽サイトを避けられます。
不審なSMSが届いたときに確認したいこと
- 1
注文や利用に心当たりがあるか、本文の内容を自分の状況と照らし合わせる
- 2
送信元の番号や表示名は正規と同じに見えることがあるため、それだけで本物と判断しない
- 3
本文のリンクは開かず、配送業者やサービスの公式アプリやブックマークから状況を確認する
- 4
アプリのインストールや構成プロファイルの許可、設定変更を求められても応じない
- 5
リンクを開いてしまっても、表示されたページでIDやパスワード、カード番号を入力しない
すでに偽サイトへ情報を入力してしまった場合は、被害を広げない初動に切り替えます。入力したIDとパスワードは別の安全な端末から速やかに変更し、同じパスワードを使い回している他のサービスも変更します。カード番号を入力した場合はカード会社へ連絡し、利用停止や再発行、不正利用の確認を依頼します。不正アプリを入れてしまった疑いがある場合は、まず通信を切って被害の拡大を抑えます。不正アプリは端末内の電話帳や認証情報を盗み、その端末を起点に他者へSMSをばらまくことがあるため、機内モードにするかSIMを抜くなどして通信を止め、心当たりのないアプリを削除します。あわせて端末標準のセキュリティ機能やウイルス対策アプリで確認し、被害が続く恐れがあるときは、契約している携帯電話会社や、IPAなどが公開する対処手順を参照しながら対応します。改善しない場合は端末の初期化も選択肢になりますが、その前に重要なデータの扱いを確認します。盗まれた認証情報は別の安全な端末から変更し、警察や国民生活センターへ相談する窓口もあわせて利用できます。
個人と組織でできる対策
個人の利用者がまず徹底したいのは、SMSに書かれたリンクからは個人情報やカード情報を入力しないという習慣です。確認が必要なときは、本文のリンクではなく公式アプリやブックマークから正規サイトへアクセスし直します。携帯電話会社が提供する迷惑SMSのフィルタやブロック機能を有効にしておくと、不審なSMSが届きにくくなります。警察庁も、携帯電話会社の迷惑メッセージのブロック機能などを活用し、不審なSMSが届きづらい設定にするよう促しています。
個人が日頃から気をつけたいこと
- SMSのリンクからIDやパスワード、カード番号を入力しない
- 確認は本文のリンクではなく、公式アプリやブックマークから行う
- 心当たりのない不在通知や請求、警告のSMSをうのみにしない
- 提供元が確認できないアプリや構成プロファイルのインストールを安易に許可しない
- 携帯電話会社の迷惑SMSフィルタを有効にし、パスワードの使い回しを避ける
組織側は、利用者教育と運用の両面で備えます。教育では、SMSは電話番号宛てで開かれやすくURLの正体を確認しにくいこと、宅配の不在通知や携帯電話会社を装う具体的な手口、不正アプリのインストールを求められても応じないという対処を、フィッシング全般の対策とあわせて周知します。基本となるフィッシング対策の考え方は別記事でも整理しています。
あわせて読みたい
フィッシングの手口と対策の基本。個人と組織でできることを徹底解説
運用面では、業務で利用者へSMSを送る場合に、本文へリンクを載せずに公式アプリやブックマークから確認してもらう運用を検討すると、本物と偽物を見分けやすくなります。あわせて、従業員が業務用端末で受け取ったSMSの不審な点を申告できる窓口を用意し、申告があれば注意喚起につなげる流れを決めておくと、同様の偽SMSに早く気づけます。会社が支給する端末では、提供元が確認できないアプリや構成プロファイルのインストールを管理する設定も対策の一つになります。
スミッシングは、SMSという開かれやすい入口を使って利用者自身に操作させる社会工学の一種です。同じく利用者の操作を起点にする手口として、QRコードを入口にするクイッシングや、人の心理を突く攻撃全般への備えとあわせて理解しておくと、対策の見通しが立てやすくなります。
あわせて読みたい
読み取るまで遷移先が見えないQRコード詐欺クイッシング
あわせて読みたい
ソーシャルエンジニアリングの手口と対策。なりすまし・プリテキスティング・テールゲーティングを原理から理解する
本記事の脅威動向はIPA「情報セキュリティ10大脅威 2026」、宅配便業者や通信事業者を装う偽SMSの手口はIPA「安心相談窓口だより」、不正アプリの誘導とAndroidとiPhoneの違いはJC3「通信事業者を装ったフィッシング」、SMSを悪用した誘導の実態と相談事例および設定面の対処は警察庁「フィッシング対策」、利用者向けの基本対策はフィッシング対策協議会「今すぐできるフィッシング対策」にもとづきます。確認できない数値や固有名は記載していません。
スミッシングの厄介さは、電話番号宛てで開かれやすく遷移先を確かめにくいというSMSの性質にあります。だからこそ、本文のリンクは開かず、公式アプリやブックマークから正規サイトへアクセスし直して確認するという一点が、個人にとって最も確実な歯止めになります。組織はこの判断を教育と運用で裏打ちし、利用者が情報を入力したりアプリを入れたりする直前に立ち止まれる状態をつくることが、被害を防ぐ近道になります。
出典・参考
関連する記事
フィッシングの手口と対策の基本。個人と組織でできることを徹底解説
依然として被害が絶えないフィッシング詐欺について、典型的な手口とその進化、見破り方、個人と組織それぞれでできる対策、そして万一被害に遭ったときの対応までを、専門知識がなくても分かるように網羅的に解説します。
読み取るまで遷移先が見えないQRコード詐欺クイッシング
QRコードに不正なURLを仕込んで偽サイトへ誘導するクイッシングの仕組みを、一般利用者にも分かる形で解説します。なぜテキストリンクより気づきにくいのか、偽ステッカーや偽の宅配通知を装う手口、読み取った後の見分け方と個人と組織の対策を、一次情報をもとに整理します。
ソーシャルエンジニアリングの手口と対策。なりすまし・プリテキスティング・テールゲーティングを原理から理解する
技術の脆弱性ではなく人の心理を突くソーシャルエンジニアリング。なりすまし、プリテキスティング、テールゲーティングといった代表的な手口の原理と成立条件、個人と組織でできる対策を、専門知識がなくても分かるように実務目線で解説します。


