SMS詐欺（スミッシング）とは、実在する宅配業者や通販サイトなどを装い、金銭や個人情報をだまし取る詐欺行為です。遭遇した場合は、「リンク先のURL」「発信元の電話番号」を確認し、従わないようにしましょう。

悪質なSMSに遭遇した際、焦ってリンクをタップしてしまい、詐欺にあったのではないかと不安になる方も多いのではないでしょうか。今回の記事では、SMS詐欺の具体的な手口から被害事例、対策方法まで徹底解説していきます。

SMS詐欺（スミッシング）とは

SMS詐欺（スミッシング）とは、SMS（ショートメッセージサービスロ）を悪用して行うフィッシング詐欺です。宅配業者や通販サイトなどを装い、詐欺サイトに誘導して金銭や個人情報をだまし取ります。

SMS詐欺については、以下の記事でも詳しく解説しています。

https://cybersecurity-jp.com/column/31203

SMS詐欺（スミッシング）が増えた理由

SMS詐欺（スミッシング）を含むフィッシング詐欺は年々増加しており、その脅威は日ごとに高まっています。これらが増加して理由は以下のとおりです。

• コロナ禍におけるインターネットやEC利用が増加したこと
• 18歳から親の承諾なしでクレジットカードを取得できるようになったこと
• SNSが一般化したこと
• 海外の犯罪組織の脅威が増したこと
• 時間とともに犯罪手口が巧妙化していること

新型コロナウイルスの影響により、インターネットやEC利用が急増し、オンラインでの個人情報や金融データの取り扱いが増えたことで詐欺の機会が増大しました。また、クレジットカード取得制限が緩和されたことやSNSの普及も、未成年者や個人情報の脆弱性を利用した詐欺手法を招いています。さらに、国際的な犯罪組織の参入により、高度なテクノロジーを駆使した攻撃が増加しています。犯罪者の手口が巧妙化する中、セキュリティ対策をより強化する必要があります。

SMS詐欺（スミッシング）の手口・事例

SMS詐欺とは、実在する宅配業者や通販サイトなどを装い、金銭や個人情報をだまし取る行為です。SMS詐欺の代表的な事例は以下のとおりです。

宅配便の再配達を促す

SMSのメッセージは「宅配便の再配達を促す」など相手の関心を惹くような文面が掲載されており、記載されたリンクから本物そっくりの偽サイトに誘導されます。特に2018年頃から、宅配業者を装った下記のような手口が見受けられるようになりました。

お客様宛にお荷物のお届けにあがりましたが不在のため持ち帰りました。下記よりご確認ください。htttp://～

宅配業者はSMSによる不在連絡は行っておらず、このような文面は全て詐欺となります。

暗証番号の更新を促す

銀行などの金融機関を騙り、暗証番号の更新を催促するメッセージ送信することがあります。

• 暗証番号の有効期限が切れるので更新しないと○月×日から利用できなくなります
• ○日間ログインされていません。○月×日までにログインしなければアカウントを一時停止いたします

上記のようなメッセージの場合は、SMS詐欺の可能性が高いです。記載URLをクリックし、リンク先にてログイン情報や暗証番号を入力すると、情報を盗み取られる可能性があります。

クレジットカードや通信料の支払いを促す

クレジットカード会社や通信会社などを騙り、クレジットカードや通信料の支払いを促すケースがあります。早急に金銭を支払わなければクレジットカードや通信サービスの利用を停止すると脅す手口です。記載URLを開くとクレジットカード情報の入力を指示されたり、マルウェアに感染したりします。

なお、このようなSMSが届くと、「自分の電話番号が、悪意ある第三者に知られているのでは？」と不安に思われるかもしれませんが、送り主は無差別的かつ機械的にSMSを送信しているため、あなたの電話番号が特定の誰かに知られているわけではありません。その点はご安心ください。

しかし、リンク先のフィッシングサイトをクリックすると、その後犯人は様々な手段で、あなたの端末から個人情報をだまし取ろうと試みます。偽サイト誘導後の手口は、AndroidとiPhoneで異なるため、次項ではそれぞれの手口を解説します。

【iPhone】フィッシングサイトに飛ばされる

iPhoneのSMS詐欺では、ほとんどの場合、宅配業者などを装ったフィッシングサイト（偽サイト）に誘導され、個人情報やID・パスワードを入力するよう促されます。

フィッシングサイトで個人情報（電話番号・認証コード、ID・パスワード）を送信すると次の被害に遭う恐れがあります。

• ネットショッピングなどで不正利用される
• スマホが遠隔操作され、SMS詐欺の発信元（加害者）にされる

フィッシングサイトに飛ばされても情報さえ入力しなければトラブルは発生しません。また、iOSアプリはAppleの厳格な審査を通過する必要があるため、不正なアプリケーションが出回りにくいとされており、不正なアプリをインストールさせる手口はAndroidと比較すると稀なようです。

【Android】不正な偽アプリがインストールされる

AndroidにおけるSMS詐欺では、偽サイトに誘導した後、不正なアプリをインストールさせる場合があります。Androidでは、Google Playを介さない非正規アプリも比較的容易にインストール可能です。そのため、AndroidユーザーがターゲットとなったSMS詐欺では、不正な偽アプリをインストールさせる手口があとを絶ちません。

AndroidにおけるSMS詐欺の手口は、おおよそ次のとおりです。

1. 詐欺SMSが届く
2.  URLをタップすると詐欺サイトに移行する
3.  個人情報の入力や不正アプリのインストールを要求される

偽アプリと聞くと、無名のものをイメージされるかもしれませんが、ほとんどの偽アプリは実在する企業の名前を記載していたり、あるいは正規のアプリに似せて作られています。また、セキュリティ対策ソフトと偽ったアプリも多く、たとえば「NTTセキュリティ」という一見公式と間違えそうな偽アプリも存在します。偽サイトにアクセスすると、どの箇所をタップしても不正なアプリがインストールされる恐れがあるため注意しましょう。

SMS詐欺（スミッシング）の確認方法

SMSの不在通知や警告は嘘

業者によるSMS経由での不在通知は、基本的に信用しない方がいいでしょう。送付されたURLにはアクセスせず、自分で公式サイトを検索して、事実確認を行ってください。もちろん不在通知に限らず、知らない相手から送られたSMSの指示に従ったり、操作を行うことはトラブルのもとになりやすいため控えましょう。

しかし、近年は業者を騙るのではなく、知人・友人を装ったSMS詐欺も急増しています。たとえば、2021年になってから次の文面が目立つようになりました。

｢気をつけてよ！写真がネットに載ってるじゃん、気まずいな!｣

このような文面と共にURLが添付されており、サイトに進むとアプリやファイルの更新を促されます。こうした詐欺SMSの送り主は、遠隔操作によってSMSを知らない間に送信させられている可能性があるため、もし友人の電話番号から、このような詐欺SMSが送られてくる場合は、この件を相手方に確認されることをおすすめします。

リンク先のURLを確認

SMS経由で飛ばされるフィッシングサイトは、実在する企業のWEBサイトに酷似しており、少なくとも一目で見分けることは、ほぼ不可能です。ただし、見分ける手段としては、次の2つがあります。

1. URLの末尾が本物のサイトと異なる
2. 記載リンクが「.apk」などファイルの拡張子になっている

①については分かりやすいようで、見分けがつきにくいです。たとえば、URLの末尾が本来は「.html」なのに「.com」や「.top」というケースも報告されています。これは公式サイトと見比べない限り区別できません。

②についてはタップするだけで既存の正規のアプリと置き換えられたり、ウイルスに感染するリスクがあります。もっとも、セキュリティが初期設定のままであれば、不審なアプリはすぐに破棄されるので問題はありません。

発信元の電話番号を確認

業者を装う不審なSMSが届いた場合、送り主の電話番号をWeb検索してみましょう。送り主の電話番号は乗っ取られて利用されているだけのケースがあります。もし発信元の電話番号を確認して業者と異なるものであれば、基本的に詐欺と断定してかまわないです。

SMS詐欺（スミッシング）を開いた・電話してしまったら

SMS詐欺（スミッシング）に記載されているURLを開いたり電話してしまうと以下のような被害が発生する可能性があります。

• 個人情報が漏洩する
• 金銭的な損失が発生する
• アカウントへ不正アクセスされる
• 悪意のあるソフトウェアをインストールする
• 詐取した情報を不正利用される

被害を最小限にするためには、不審なSMSや電話には注意を払い、安易に個人情報や支払い情報を入力しないようにすることが重要です。

SMS詐欺（スミッシング）の対策方法

非正規ルートのアプリはインストールしない

アプリをインストールする場合は、必ず公式ストアからインストールしましょう。特にAndroidでは非正規ルートからのアプリもインストールできるため、注意が必要です。もし不正なアプリをインストールしたら、速やかに削除し、設定しているパスワードも変更しておきましょう。

届いた文面を検索する

SMS詐欺メッセージは、不特定多数のユーザーに同じ文章を大量送信するため、ウェブで検索すると類似する報告事例に行きつきやすいです。届いたメッセージはまず文面を検索して、類似の詐欺報告事例がないか確認しましょう。

なお、注意点として、SMSに記載されているリンクを全てコピペして、検索エンジンに入力することは控えましょう。不正サイトに誘導させられ、ウイルスをダウンロードさせられる危険があります。もし打ち込むときは、記載されたリンクの末尾のみ検索し、なおかつ拡張子になっている「.（ドット）」の部分は、直後に空白を入れるなどして、リンク先に直接アクセスすることは避けましょう。

スマホ本体のセキュリティ設定を見直す

提供元不明の非正規アプリは、初期設定のスマートフォンだとインストールできないため、自ら設定の変更を行わない限りは問題ありません。ただし、この設定が変更されていると、意図せず不正なアプリをインストールされてしまう恐れがあります。セキュリティ関係の設定はむやみにいじらないようにしましょう。

またオンライン決済やECサイトのログインには、IDとパスワードに加えて本人認証による二段階認証など、セキュリティ対策の増強も図っておきましょう。

OSやアプリを最新版にアップデートする

SMS詐欺は、OSやアプリの脆弱性を突いて仕掛けられることがよくあります。これに限らず、古いOSやアプリはサイバー攻撃やハッキング被害のリスクが付き物のため、OSやアプリは最新の状態にアップデートしておきましょう。

キャリア決済の限度額を設定する

このような対策をしていても、トラブルにあう可能性は払拭できません。保険として、あらかじめ「被害を受ける前提の対策」を行っておくのも良いでしょう。

たとえば、個人情報が流出すると、ID/パスワード認証を利用して代金を支払う「キャリア決済」に悪用される恐れがあります。そのため、キャリア決済の利用限度額を低額に設定するか、不必要なら、そもそもキャリア決済を利用しない設定にしておきましょう。

SMS詐欺（スミッシング）被害の有無を調べる方法

ダウンロード履歴やセキュリティアプリで確認する

Androidでは不正なアプリがインストールされた痕跡をダウンロード履歴から確認できます。そのため、見慣れない拡張子のファイルが展開された痕跡がある場合、その端末はウイルスに感染している可能性があります（ウイルス感染すると、情報が抜き取られたり、詐欺SMSの踏み台にさせられている危険性があります）。

これら被害の有無を調査したいという方は、Android向けのセキュリティアプリで感染の事実を確認するか、専門の調査会社まで相談・依頼しましょう。なお、iPhoneは、ウイルススキャンに対応しておらず、ウイルスを検知・駆除するアプリケーションが存在しないため、セキュリティアプリで感染の事実を確認することは出来ません。

専門の調査会社に依頼する

これまでに紹介したようなSMS詐欺に遭遇し、実際に何かしらの情報を打ち込んだり、アプリをインストールした場合、すでに何らかの被害に遭っている可能性があります。しばらくしてセキュリティの設定やID・パスワードを変更したとしても、一度抜き取られた情報が自分の知らないところで漏洩し出回ってしまうリスクがあります。

「中のデータが抜き取られたか知りたい」「端末が悪用されていないか調べたい」という方は、スマートフォンやパソコンのデータ解析を専門に行うフォレンジック調査（＝デジタル鑑識）の会社に相談する方法があります。

フォレンジック調査の詳細については以下の記事で詳しく紹介しております。

【比較】フォレンジック調査とは？費用や事例からおすすめ会社の選び方を徹底解説

2024.3.5

※この記事は2024年4月に更新されています。 不正アクセスや情報漏えいなど、セキュリティ・インシデントの原因究明を行える「デジタルフォレンジック」。日本ではまだまだ聞き慣れない用語ですが、近年デジタ

SMS詐欺（スミッシング）の調査会社

個人・法人問わず対応可能で相談から見積もりまで無料で実施しているおすすめの調査専門業者として「デジタルデータフォレンジック」を紹介します。

まとめ

今回は、SMS詐欺の手口や、被害調査の方法をご紹介しました。SMS詐欺を回避するためにも、少しでも怪しいと感じたり、身に覚えのないSMSの通知とリンクは決して開かないようにしましょう。

なお、SMS詐欺に遭遇し、実際に個人情報を送信してしまうなどして不安を感じる場合や、不正アクセスの調査を希望される方は、専門の調査会社に相談をおすすめします。