avatar

高橋 ゆうこ

更新日:2026-05-23

2515 閲覧数, 6 min 読む
先に結論 先に結論

スミッシングとは、SMSを悪用して偽サイトへ誘導し、ID・パスワード・クレジットカード情報・認証コードなどを盗み取ろうとするフィッシング詐欺の一種です。不審なSMSが届いた場合は、SMS内のURLをすぐに開かず、公式アプリや公式サイトから直接確認することが基本です。

ここでいうスミッシングは、SMSを悪用した詐欺手口のことです。ハーブの煙で空間を浄化する「スマッジング」とは別の用語です。

スマートフォンに届くSMSは、認証コード、配送通知、金融機関からのお知らせなど、日常的な連絡手段として使われています。一方で、こうした信頼感を悪用し、偽のSMSから偽サイトへ誘導する詐欺もあります。

スミッシングの意味、SMS詐欺・SMSフィッシングとの関係、よくある手口や事例、見分け方、被害を防ぐための対策を整理します。後半では、企業が正規のSMSを送るときに、ユーザーから不審なメッセージと誤解されないための運用ポイントも紹介します。

スミッシングとSMS詐欺の仕組みを整理した図

スミッシングとは

スミッシングとは、SMSを使って受信者を偽サイトや偽の窓口へ誘導し、個人情報や認証情報を盗み取る詐欺手口です。SMS詐欺の代表的な手口として扱われることもあります。英語の「Smishing」は、SMS phishingに由来します。

盗み取られやすい情報には、ログインID、パスワード、クレジットカード番号、暗証番号、SMS認証コード、氏名や住所などがあります。

典型的には、配送業者、金融機関、ECサイト、携帯キャリア、公的機関などを装ったSMSが届きます。メッセージ内のURLを開くと、本物に似せた偽サイトへ誘導され、ログイン情報、クレジットカード情報、認証コードなどの入力を求められることがあります。

スミッシング・フィッシング・SMS詐欺の違い

スミッシングは、フィッシング詐欺の一種です。フィッシングがメールや偽サイトなどを含む広い概念であるのに対し、スミッシングはSMSを入り口にする点が特徴です。

用語 意味 主な特徴
スミッシング SMSを悪用したフィッシング詐欺 SMS内のURLや電話番号から偽サイト・偽窓口へ誘導する
フィッシング 実在する企業やサービスを装い、情報を盗み取る詐欺 メール、SMS、SNS、偽サイトなど複数の手口がある
SMS詐欺 SMSを使った詐欺全般 スミッシングのほか、架空請求や偽サポート誘導なども含まれる

実際の検索やニュースでは、スミッシング、SMS詐欺、SMSフィッシングが近い意味で使われることもあります。本記事では、SMSから偽サイトや偽窓口へ誘導する詐欺を中心に解説します。

スミッシングの主な手口

スミッシングでは、受信者に「今すぐ確認しなければならない」と思わせる内容がよく使われます。緊急性、不安、報酬、アカウント停止などを強調し、冷静に確認する前にURLを開かせようとします。

スミッシングで偽SMSから偽サイトへ誘導される流れ
  • 偽サイトへの誘導:本物に似せたログイン画面や決済画面へ誘導し、ID・パスワード・カード情報を入力させます。
  • 認証コードの詐取:本人確認を装って、SMS認証コードやワンタイムパスワードを入力させる場合があります。
  • 不正アプリのインストール:配送確認やセキュリティ確認を装い、見知らぬアプリを入れさせようとするケースがあります。
  • 電話窓口への誘導:SMS内の電話番号に連絡させ、サポートや確認手続きを装って情報を聞き出す場合があります。

スミッシングのよくある事例・被害パターン

スミッシングの文面は時期によって変わりますが、よく使われるパターンには共通点があります。ここでは、個別企業名を断定的に扱うのではなく、代表的な事例として整理します。

  • 配送通知を装う事例:不在通知や住所確認を理由に、再配達手続きのページへ誘導します。
  • 金融機関を装う事例:口座の利用制限や本人確認を理由に、ログイン情報やカード情報を入力させます。
  • ECサイトを装う事例:アカウント異常や支払い方法の確認を理由に、偽の会員ページへ誘導します。
  • 携帯キャリアを装う事例:料金未払いや通信停止を理由に、支払い情報や契約情報を盗み取ろうとします。
  • 公的機関を装う事例:税金、給付金、健康保険、マイナンバーなどを口実に、偽サイトへ誘導する場合があります。

スミッシングを見分けるポイント

最近のスミッシングは文面が自然になっており、日本語の不自然さだけで判断するのは難しくなっています。 送信元名、URL、要求内容、確認方法を分けて見ることが大切です。

警察庁のフィッシング対策でも、不審なSMS内のリンクを不用意に開かず、迷惑メッセージブロック機能などを活用することが案内されています。

  • SMS内のURLをすぐに開かない:心当たりがある通知でも、SMS内のリンクではなく、公式アプリやブックマーク済みの公式サイトから確認します。
  • 公式名が書かれていても信用しすぎない:SMSの差出人名や本文に有名企業名が書かれていても、本物とは限りません。公式アプリや公式サイトから確認することが大切です。
  • 送信元番号だけで判断しない:見慣れない番号や海外番号から届くSMSには注意が必要です。一方で、送信元名や番号が公式らしく見えても本物とは限らないため、最終的には公式アプリや公式サイトから確認します。
  • 不自然に急がせる文面に注意する:「本日中」「停止」「差し押さえ」「至急」など、強い不安をあおる表現には注意が必要です。
  • 個人情報や認証コードの入力要求を疑う:SMSから開いたページで、パスワード、カード番号、認証コードを求められた場合は立ち止まって確認します。
  • 短縮URLや見慣れないドメインに注意する:公式サービスに見える名前でも、URLのドメインが公式と異なる場合があります。判断に迷う場合は、SMS内のURLではなく公式アプリやブックマーク済みの公式サイトから確認します。

スミッシングに引っかかったときの対処法

SMS内のURLを開いただけで、必ず被害が発生するとは限りません。ただし、情報を入力した、アプリをインストールした、認証コードを送信した場合は、早めの対応が必要です。

スミッシングに引っかかったときの確認フロー
  • URLを開いただけの場合:追加で情報を入力せず、ページを閉じます。不安な場合は、公式アプリや公式サイトから利用状況を確認します。
  • ID・パスワードを入力した場合:正規サイトからすぐにパスワードを変更し、同じパスワードを使っている他サービスも確認します。
  • カード情報や口座情報を入力した場合:カード会社や金融機関へ連絡し、利用停止、不正利用の確認、再発行などを相談します。
  • 認証コードを入力した場合:アカウントのログイン履歴や取引履歴を確認し、必要に応じてサービス提供元へ連絡します。
  • 不審なアプリを入れた場合:アプリを削除し、必要に応じて通信を一時的に切ったうえで、端末や携帯キャリアのサポート、セキュリティ対策を確認します。

フィッシングと思われるメールやSMSを受け取った場合は、フィッシング対策協議会の報告窓口に情報提供する方法もあります。ただし、カード情報や口座情報を入力してしまった場合は、まずカード会社や金融機関など、被害に関係する窓口への連絡を優先してください。

スミッシング被害を防ぐための対策

スミッシング対策では、「怪しいSMSを見抜く」だけでなく、「怪しいSMSに触れる機会を減らす」ことも重要です。端末や携帯キャリアが提供する迷惑SMS対策機能もあわせて確認しましょう。

  • 公式アプリ・公式サイトから確認する:SMS内のリンクではなく、公式アプリ、ブックマーク済みの公式サイト、または普段利用している正規のログイン画面から確認します。
  • 迷惑SMS対策機能を確認する:携帯キャリアやスマートフォンには、迷惑SMSや危険なSMSを判定・ブロックする機能があります。NTTドコモのSMS拒否設定、auの迷惑SMSブロック、ソフトバンクのSMSの迷惑メール拒否設定など、利用中の回線で設定できる対策を確認しておくと安心です。
  • 多要素認証(MFA)を設定する:パスワードだけに依存せず、認証アプリや生体認証などを組み合わせます。
  • 認証コードを他人に伝えない:SMSで届いたワンタイムパスワードや認証コードは、第三者に共有しないようにします。

企業がSMSを送るときに誤解されないためのポイント

企業が正規のSMSを送る場合も、ユーザーから見ると不審なSMSと区別しにくいことがあります。企業はスミッシングそのものを完全に防げるわけではありませんが、自社の正規SMSをユーザーが見分けやすくすることはできます。

そのため、SMS配信では到達率だけでなく、受信者が安心して確認できる設計が重要です。

また、従業員が業務端末で不審なSMSを受け取った場合に、個人で判断せず社内の担当者へ共有できるルールを決めておくことも大切です。

  • 公式サイトにSMS送信ルールを掲載する:どの用途でSMSを送るのか、どの送信元番号・送信元名・ドメインを使うのかを案内しておくと、ユーザーが判断しやすくなります。送信元表示の基本は、SMS送信者IDの解説でも整理しています。
  • URLのドメインを統一する:短縮URLや見慣れないドメインを避け、ユーザーが公式と判断しやすいURLを使います。
  • SMSで求める操作を限定する:パスワードやカード情報の直接入力を求めるSMSは避け、公式アプリや公式サイトでの確認に誘導します。
  • 配信内容をテンプレート化する:部門ごとに文面がばらつくと不審に見えやすいため、用途別にテンプレートを管理します。
  • 送信ログと頻度を管理する:大量送信や短時間の連続送信はユーザー不信につながるため、配信頻度と送信履歴を確認できる状態にします。

EngageLabで正規SMSの運用を管理する

EngageLab では、SMS、メール、プッシュ通知、WhatsAppなど複数チャネルのメッセージ配信を管理できます。正規のSMSを継続的に送る企業にとっては、配信文面のテンプレート管理、送信履歴・配信結果の確認、認証コード送信の運用などを一元化できることが重要です。

EngageLabのSMS配信管理画面

スミッシング対策そのものを企業だけで完全に防ぐことはできません。しかし、自社の正規SMSの送信元、文面、URL、頻度、ログを管理し、ユーザーが公式連絡だと判断しやすい状態を整えることで、不審なSMSとの混同を減らしやすくなります。

SMS配信や認証コード送信の運用を見直したい場合は、EngageLabのSMS関連機能をご確認ください。

SMS配信について相談する

スミッシングに関するよくある質問

スミッシングとは何ですか?

スミッシングとは、SMSを悪用して偽サイトへ誘導し、個人情報やログイン情報を盗み取るフィッシング詐欺の一種です。

スミッシングとフィッシングの違いは何ですか?

フィッシングは偽メールや偽サイトなどを使って情報を盗み取る詐欺全般を指します。スミッシングは、その中でもSMSを入り口にする手口です。

怪しいSMSが届いたらどうすればよいですか?

SMS内のURLを開かず、公式アプリや公式サイトから直接確認してください。不安な場合は、SMSに書かれた電話番号ではなく、公式サイトに掲載されている窓口から確認します。

不審なSMSのURLを開いてしまったらどうすればよいですか?

URLを開いただけで情報を入力していない場合でも、ページ上で求められた情報は入力しないでください。パスワード、カード情報、認証コードなどを入力した場合は、該当サービス、カード会社、金融機関などへ連絡し、パスワード変更や利用停止を検討します。

SMS認証は危険ですか?

SMS認証自体がすぐに危険というわけではありません。ただし、スミッシングで認証コードを入力させる手口があるため、SMSで届いた認証コードを第三者に伝えたり、不審なサイトに入力したりしないことが重要です。

スミッシングに引っかかった場合、どこに相談できますか?

入力した情報の種類によって相談先は異なります。カード情報や口座情報を入力した場合はカード会社や金融機関へ連絡し、金銭被害や不安がある場合は警察庁のサイバー事案に関する相談窓口や警察相談専用電話「#9110」、消費者ホットライン「188」などの公的窓口も確認してください。

企業がSMSを送る場合、何に注意すべきですか?

送信元番号やURLドメインを公式サイトで案内し、短縮URLや不自然な文面を避けることが重要です。また、SMSで直接パスワードやカード情報を求めず、公式アプリや公式サイトで確認できる導線にすることで、ユーザーが安心して判断しやすくなります。

まとめ

スミッシングは、SMSを悪用したフィッシング詐欺です。配送通知、金融機関、ECサイト、携帯キャリア、公的機関などを装い、偽サイトへ誘導して個人情報や認証情報を盗み取ろうとします。

利用者側では、SMS内のURLをすぐに開かず、情報を入力する前に公式アプリや公式サイトから確認することが大切です。

企業側では、自社の正規SMSの送信元、URL、文面、頻度を管理し、ユーザーが安心して確認できるSMS運用を整えることが重要です。