スミッシング すみっしんぐ
簡単に言うとこんな感じ!
SMSで届く「宅配便の再配達はこちら→」みたいな偽メッセージのことだよ!リンクを踏ませてパスワードやクレジットカード番号を盗む詐欺なんだ。メールより信頼されやすいSMSを悪用した、ちょっと厄介なフィッシング詐欺ってこと!
スミッシングとは
スミッシング(Smishing) とは、SMS(ショートメッセージサービス)を使ったフィッシング詐欺のことです。「SMS」と「Phishing(フィッシング)」を組み合わせた造語で、攻撃者がなりすましのSMSを送りつけ、偽サイトへ誘導して個人情報や金融情報を盗み取ります。
メールによるフィッシングと手口は似ていますが、スミッシングが厄介なのは「SMSは信頼されやすい」という心理的な盲点を突いている点です。宅配業者・銀行・公共機関などに偽装したメッセージは、受け取った人が「本物かもしれない」と感じやすく、クリック率がメールより高い傾向があります。
近年はスマートフォンの普及とともに被害が急増しており、日本でも宅配便の不在通知や銀行の不正利用警告を装った事例が多数報告されています。発注担当者や経営層の個人スマホが狙われるケースもあり、ビジネス上のリスクとしても見逃せません。
スミッシングの仕組みと手口
典型的なスミッシング攻撃は、以下の3ステップで進みます。
| ステップ | 内容 | 具体例 |
|---|---|---|
| ① SMS送信 | 公的機関や有名企業を装ったSMSを大量送信 | 「ヤマト運輸:お荷物をお届けできませんでした」 |
| ② 誘導 | 短縮URLや似せたドメインに誘導 | yamat0-delivery.com など |
| ③ 詐取 | 偽サイトで個人情報・クレジット情報を入力させる、またはマルウェアをインストールさせる | 住所・氏名・カード番号の入力、不正アプリのDL |
よく使われるなりすまし先
- 🏦 銀行・クレジットカード会社:「不正利用を検知しました。確認はこちら」
- 📦 宅配業者:「再配達のお手続きはこちら」
- 🏛️ 公的機関(国税庁・マイナポータル等):「税金の還付があります」
- 📱 通信キャリア:「料金未払いがあります。アカウントが停止されます」
フィッシングメールとの違い
| 比較項目 | フィッシングメール | スミッシング(SMS) |
|---|---|---|
| 媒体 | メール | SMS |
| 開封率 | 約20〜30% | 約98%(SMSの方が格段に高い) |
| 迷惑メールフィルター | ある程度機能する | ほぼ機能しない |
| 受信者の警戒感 | 比較的高い | 低い(信頼しやすい) |
| URLの視認性 | PCなら確認しやすい | スマホでは確認しにくい |
攻撃フローの全体像
歴史と背景
- 2000年代前半:フィッシング詐欺がメールを中心に急拡大。同時期にSMSを使った詐欺も登場し始める
- 2006年頃:「Smishing」という用語が登場。セキュリティ研究者がSMSフィッシングを正式に命名
- 2010年代:スマートフォンの普及に伴い、SMSの利用頻度が急増。攻撃者もSMSに軸足を移し始める
- 2018〜2019年:日本で宅配業者を装ったスミッシングが急増。特にAndroid端末向けに不正アプリをインストールさせる手口が社会問題化
- 2020年以降:新型コロナ関連(ワクチン接種、給付金)を装ったスミッシングが世界規模で急増
- 2022〜現在:マイナンバー・年金・電力会社などを装った事例が増加。ビジネスパーソンの個人スマホが狙われる傾向が強まる
スミッシングが増え続ける背景には、「SMSにはスパムフィルターがほぼない」「短いURLでリンク先が見えにくい」「本物の通知もSMSで届く」という3つの構造的な問題があります。
フィッシング・ビッシングとの比較
フィッシング詐欺には媒体によっていくつかの種類があります。スミッシングはそのひとつです。
| 種類 | 読み | 媒体 | 主な手口 |
|---|---|---|---|
| フィッシング | フィッシング | メール | 偽メールのリンクから偽サイトへ誘導 |
| スミッシング | スミッシング | SMS | 偽SMSのリンクから偽サイトへ誘導 |
| ビッシング | ビッシング | 電話・音声 | 口頭で個人情報・暗証番号を聞き出す |
| クインシング | クインシング | QRコード | 偽QRコードを読ませて偽サイトへ誘導 |
覚え方:「フィッシング一家」
「S(SMS)→ スミッシング」「V(Voice)→ ビッシング」
頭文字の媒体名 + フィッシング、と覚えるとスッキリ!
実務での対策ポイント
ビジネスパーソンが知っておくべき、スミッシング対策の基本です。
受け取ったSMSへの対処
| チェック項目 | 確認方法 |
|---|---|
| 送信元番号が正規のものか | 公式サイトや明細書に記載の番号と照合 |
| URLが正規ドメインか | リンクを押す前にURLをよく確認(誤字・似せたドメインに注意) |
| 急かす内容ではないか | 「今すぐ」「24時間以内」は詐欺の常套句 |
| 公式アプリから確認できるか | 宅配・銀行はアプリを直接開いて確認 |
組織としての対策
- 従業員へのセキュリティ教育:スミッシングの手口を定期的に周知する
- MDM(モバイルデバイス管理)の導入:業務スマホへの不正アプリインストールを防ぐ
- 二要素認証(2FA)の徹底:仮にパスワードが盗まれても被害を最小化する
- インシデント報告フローの整備:「怪しいSMSを受け取った」と報告しやすい環境をつくる
関連する規格・RFC
| 規格・参考文書 | 内容 |
|---|---|
| NIST SP 800-177r1 | フィッシング対策を含むメール・SMS セキュリティのガイドライン |
| 総務省「フィッシング対策ガイドライン」 | 国内向けフィッシング・スミッシング対策の指針 |
| JPCERT/CC 注意喚起 | 国内スミッシング事例の情報提供・警告 |