本記事では、スミッシングの最新手口から、docomo・au・SoftBankなどキャリア別の完全対策設定、被害に遭った際の緊急対応まで、スマートフォンユーザー全員が知っておくべき防御方法を詳しく解説します。設定手順は画面説明付きで紹介していますので、今すぐ実践できます。
スミッシングの仕組みと特徴
スミッシング(Smishing)は、SMS(ショートメッセージサービス)とフィッシング(Phishing)を組み合わせた造語で、ショートメール詐欺とも呼ばれます。従来のフィッシング詐欺がメールを使うのに対し、スミッシングは携帯電話番号宛に直接メッセージを送信する点が特徴です。
SMS配信の仕組みと悪用
SMSは通常、以下の経路で配信されます:
【正規の配信フロー】
送信者 → キャリア網(NTTドコモ、KDDI等)→ 受信者の端末
【詐欺の配信フロー】
攻撃者 → SMS配信サービス → キャリア網 → ユーザー端末
↑
偽の発信者番号を設定
攻撃者はSMS配信サービス(一括送信業者)を悪用し、発信者番号を偽装します。これにより、あたかも正規の企業や公的機関から送られてきたように見せかけることが可能です。例えば、「0570-200-000」といったヤマト運輸の公式番号風に表示させることができます。
短縮URLの危険性
スミッシングで最も危険なのが短縮URLの使用です。SMSは文字数制限(全角70文字、半角160文字)があるため、攻撃者はbit.ly、goo.gl、tinyurl.comなどの短縮URLサービスを悪用します。短縮URLは実際のリンク先が見えないため、ユーザーは危険なサイトかどうかを判断できません。
心理的圧迫による誘導
スミッシングは緊急性を演出することで、冷静な判断を妨げます:
- 不在通知:「お荷物をお届けしましたが不在でした」
- 料金未納:「携帯料金が未払いです。今すぐお支払いください」
- 口座凍結:「不正アクセスを検知したため口座を一時停止しました」
- 当選通知:「おめでとうございます!賞金を受け取ってください」
これらの文面は、ユーザーに「すぐに対応しなければ」という焦りを与え、リンクをクリックさせる心理的トリックです。この手法はソーシャルエンジニアリングの典型的なパターンであり、人間の心理的弱点を突いた攻撃といえます。
宅配便偽装SMSの実態【被害の76%】
2024年のスミッシング被害のうち、実に76%が宅配便を装った手口です。新型コロナウイルスの影響でEC通販が急増した2020年以降、この手口は爆発的に増加しました。以下、実際の詐欺SMS例文と危険ポイントを詳しく解説します。
ヤマト運輸偽装パターン(3例)
パターン1:不在通知(最頻出)
━━━━━━━━━━━━━━━━
差出人:0570-200-000
(※ヤマト運輸の公式番号に偽装)
本文:
お客様宛にお荷物のお届けにあがりましたが
不在の為持ち帰りました。
こちらにてご確認ください。
http://kur0nekoy4mat0.com/re
━━━━━━━━━━━━━━━━
危険ポイント:
- URLのドメインが
kuronekoyamato.co.jpではない - 数字の「0」を英字の「o」で偽装(kur0nekoy4mat0)
- 正規のヤマト運輸は不在通知をSMSで送らない(2024年11月現在)
正規の不在通知方法:
- 不在票(紙)が郵便受けに投函される
- クロネコメンバーズアプリで通知(事前登録者のみ)
- メール通知(事前登録者のみ)
パターン2:配達予定通知
━━━━━━━━━━━━━━━━
差出人:ヤマト運輸
本文:
本日14-16時に配達予定です。
ご不在の場合は下記より日時変更が可能です。
https://bit.ly/3xK8pLm
━━━━━━━━━━━━━━━━
危険ポイント:
- 短縮URL(bit.ly)を使用している
- 正規のヤマト運輸は
jizen.kuronekoyamato.co.jpを使用 - 差出人名は誰でも設定できるため信用できない
パターン3:保管期限通知
━━━━━━━━━━━━━━━━
差出人:クロネコヤマト
本文:
お荷物の保管期限が本日までです。
再配達のご依頼はこちら
http://yamato-umi.com/redelivery
━━━━━━━━━━━━━━━━
危険ポイント:
- 「保管期限が本日まで」という緊急性の演出
- 正規ドメイン(kuronekoyamato.co.jp)ではない
- 「ヤマト」「ウミ」など関連語でドメイン取得
佐川急便偽装パターン(3例)
パターン1:再配達案内
━━━━━━━━━━━━━━━━
差出人:佐川急便
本文:
お荷物をお届けしましたが、ご不在でした。
配送物は下記よりご確認ください。
http://sagawa-exp.jp/tracking
━━━━━━━━━━━━━━━━
危険ポイント:
- 正規ドメインは
sagawa-exp.co.jpであり、.jpは偽物 - 「tracking」など英単語を使って本物らしく見せかけ
パターン2:料金不足通知
━━━━━━━━━━━━━━━━
差出人:0120-189-595
(※佐川急便の公式番号に偽装)
本文:
着払い配送料金が不足しています。
お支払いがない場合、返送となります。
https://sagawa.delivery/payment
━━━━━━━━━━━━━━━━
危険ポイント:
- 「料金不足」という焦りを誘う文面
- 正規ドメインではない(sagawa.delivery)
- 佐川急便は料金不足の場合、配達員が直接対応
パターン3:宛名不明通知
━━━━━━━━━━━━━━━━
差出人:SG配送
本文:
配送先の住所が不明瞭なため、配達保留中です。
正しい住所をご入力ください。
http://sg-sagawa.info/address
━━━━━━━━━━━━━━━━
危険ポイント:
- 「SG」(佐川急便の略称)を使用
- 住所入力を求めることで個人情報を窃取
日本郵便偽装パターン(3例)
パターン1:不在通知(郵便局)
━━━━━━━━━━━━━━━━
差出人:日本郵便
本文:
郵便物のお届けにあがりましたが、
お留守でしたので持ち帰りました。
https://jppost-tracking.com/status
━━━━━━━━━━━━━━━━
危険ポイント:
- 正規ドメインは
post.japanpost.jpまたはtrackings.post.japanpost.jp - 「jppost」というそれらしいドメイン名
パターン2:国際郵便の関税通知
━━━━━━━━━━━━━━━━
差出人:0570-046-111
(※郵便局の公式番号に偽装)
本文:
国際郵便物の関税をお支払いください。
支払期限:本日23:59まで
https://customs-jp.net/payment
━━━━━━━━━━━━━━━━
危険ポイント:
- 「本日23:59まで」という時間的圧迫
- customs(税関)という英単語で正規感を演出
- 関税支払いは郵便局窓口または代引きのみ
パターン3:ゆうパック追跡
━━━━━━━━━━━━━━━━
差出人:郵便局
本文:
ゆうパックの配達状況はこちら
お問い合わせ番号:1234-5678-9012
http://yupack.jp/track?id=123456789012
━━━━━━━━━━━━━━━━
危険ポイント:
- 正規は「ゆうパック」だが「yupack」と英字表記
- URLにトラッキングIDが含まれ、本物らしく見せかけ
海外配送業者偽装パターン(2例)
パターン1:FedEx偽装
━━━━━━━━━━━━━━━━
差出人:FedEx
本文:
Your package requires customs clearance.
Pay now to avoid delays.
http://fedex-jp.delivery/customs
━━━━━━━━━━━━━━━━
危険ポイント:
- 英文で正規の国際配送に見せかけ
- 「fedex-jp.delivery」は偽ドメイン(正規は fedex.com)
パターン2:DHL偽装
━━━━━━━━━━━━━━━━
差出人:DHL Express
本文:
配送料金が不足しています。
追加料金¥3,800をお支払いください。
https://dhl.express-jp.com/pay
━━━━━━━━━━━━━━━━
危険ポイント:
- 「dhl.express-jp.com」というサブドメイン風の偽装
- 正規は「dhl.co.jp」または「dhl.com」
その他の宅配業者偽装(2例)
Amazonデリバリー偽装
━━━━━━━━━━━━━━━━
差出人:Amazon配送
本文:
お届け予定のAmazon商品について
配送先住所の確認が必要です。
https://amazon-delivery.info/confirm
━━━━━━━━━━━━━━━━
地域配送業者偽装
━━━━━━━━━━━━━━━━
差出人:配送センター
本文:
お荷物番号:XX-1234-5678
配達予定日の変更はこちら
http://local-delivery.jp/change
━━━━━━━━━━━━━━━━
宅配便偽装を見破るチェックリスト
- ✅ 発信元番号の確認
- 公式サイトに記載されている問い合わせ番号と一致するか確認。番号は偽装可能なため、番号が正しくても安心できない。
- ✅ URLドメインの確認
- 正規ドメインと完全一致するか確認。「0」と「o」、「1」と「l」の違いに注意。
- ✅ 短縮URLは絶対にクリックしない
- bit.ly、goo.gl、tinyurlなど短縮URLは実際のリンク先が不明。宅配業者が短縮URLを使うことはない。
- ✅ 身に覚えのない配送通知は無視
- 注文していない荷物の通知は100%詐欺。ECサイトの注文履歴で確認する。
- ✅ 公式アプリで確認
- SMSのリンクは踏まず、必ず公式アプリやブックマークした公式サイトから確認する。
金融機関偽装SMSの手口
宅配便偽装に次いで多いのが、銀行やクレジットカード会社を装ったスミッシングです。2024年の被害は約8万件、総額142億円に達しています。
主要な金融機関偽装パターン
| 偽装機関 | よくある文面 | 誘導先 | 目的 | 対策 |
|---|---|---|---|---|
| 三井住友銀行 | 「不正アクセスを検知しました」 | 偽ログインページ | ID/パスワード窃取 | 公式アプリから確認 |
| 三菱UFJ銀行 | 「セキュリティ強化のため本人確認が必要」 | 偽認証ページ | ワンタイムパスワード窃取 | 銀行から直接SMSは送らない |
| みずほ銀行 | 「口座が一時停止されました」 | 偽サポートページ | 暗証番号入力 | 公式サイトで確認 |
| 楽天銀行 | 「振込制限が設定されています」 | 偽設定ページ | アカウント乗っ取り | アプリ通知のみ信用 |
| 三井住友カード | 「不正利用の可能性があります」 | 偽認証サイト | カード番号・CVV窃取 | 0120番号に電話確認 |
| JCBカード | 「本人確認が完了していません」 | 偽登録ページ | 個人情報窃取 | MyJCBアプリで確認 |
実際のSMS例文と解説
三井住友銀行偽装
━━━━━━━━━━━━━━━━
差出人:0120-56-3143
(※実際の三井住友銀行の番号)
本文:
【三井住友銀行】
お客様の口座で不正なアクセスを検知しました。
セキュリティ強化のため、以下より本人確認を
お願いいたします。
https://smbc-security.jp/verify
━━━━━━━━━━━━━━━━
危険ポイント:
- 正規ドメインは
smbc.co.jpだが、smbc-security.jpは偽物 - 「不正アクセス検知」という緊急性の演出
- 三井住友銀行はSMSでログイン要求をしない
正規の対応:
- SMSのリンクは踏まない
- 三井住友銀行アプリまたはブックマークした公式サイトからログイン
- 不審な動きがないか確認
- 不明な場合はサポート(0120-56-3143)に電話確認
クレジットカード会社偽装
━━━━━━━━━━━━━━━━
差出人:VISAカード
本文:
【重要】カードの不正利用を検知しました。
至急、カード情報の再認証が必要です。
期限:24時間以内
https://visa-secure.info/auth
━━━━━━━━━━━━━━━━
危険ポイント:
- 「24時間以内」という時間的圧迫
- visa-secure.info は偽ドメイン
- VISAは国際ブランドであり、直接利用者にSMSを送ることはない
金融機関からの正規連絡方法
銀行:
- アプリ内プッシュ通知
- 登録メールアドレス宛のメール
- 郵送(重要な通知)
- 窓口または電話(本人確認後)
クレジットカード会社:
- 会員専用アプリの通知
- 登録メールアドレス宛のメール
- 電話(カード裏面記載の番号から発信)
絶対にSMSで送らない情報:
- ログインID・パスワードの入力要求
- カード番号の全桁入力要求
- CVV(セキュリティコード)の入力要求
- 暗証番号の入力要求
これらの情報を求めるSMSは100%詐欺です。
キャリア別SMS対策設定【超重要・完全版】
スミッシング対策で最も効果的なのが、携帯電話キャリア側での迷惑SMSブロック設定です。各キャリアは無料で迷惑SMS対策サービスを提供していますが、設定していないユーザーが大半です。以下、キャリア別に詳細な設定手順を解説します。
docomo(ドコモ)の設定
迷惑SMS対策の有効化(所要時間:5分)
手順1:My docomoアプリを開く
- iOSアプリ:App Storeで「My docomo」を検索
- Androidアプリ:Google Playで「My docomo」を検索
- ブラウザ版:
https://www.nttdocomo.co.jp/mydocomo/からアクセス
手順2:メニューから設定画面へ
- アプリのホーム画面で「設定」タブをタップ
- 「あんしん・安全」セクションを選択
- 「迷惑メール対策」をタップ
[ここに「あんしん・安全」画面のスクリーンショット説明]
- 画面中央に「迷惑メール対策」という緑色のボタンが表示されます
手順3:SMS拒否設定を有効化
- 「SMS拒否設定」を選択
- 以下の3項目にチェックを入れる:
☑ 非通知SMSを拒否
→発信者番号が非通知のSMSをブロック
☑ 国際SMSを拒否
→海外からのSMSをブロック(海外在住者は要注意)
☑ URL付きSMSを拒否
→URLを含むSMSをブロック(※後述の注意点を参照)
手順4:特定番号拒否設定
詐欺で頻繁に使われる番号を個別に登録:
【登録推奨番号】
- 070-XXXX-XXXX(頻出する詐欺番号)
- 0570-XXX-XXX(偽ヤマト運輸等でよく使われる番号)
- +81-XX-XXXX-XXXX(国際番号形式の詐欺)
登録方法:
- 「特定番号拒否設定」をタップ
- 「番号を追加」ボタンをタップ
- 拒否したい番号を入力して保存
手順5:設定完了確認
設定後、テストメールを送信して正常に受信できるか確認してください。
重要な注意点
「URL付きSMSを拒否」の副作用:
この設定を有効にすると、以下の正規SMSも届かなくなる可能性があります:
- 銀行のワンタイムパスワード(OTP)
- ECサイトの注文確認SMS
- 予約確認のリマインダーSMS
- 各種サービスの認証コード
推奨対策:
- まず「URL付きSMS拒否」を有効化
- 必要なサービスから正規SMSが届かなくなったら、「個別許可設定」でその番号を登録
- 銀行、ECサイト等の公式番号を事前に登録しておく
ドコモの問い合わせ先
【ドコモインフォメーションセンター】
- ドコモ携帯から:151(無料)
- 一般電話から:0120-800-000
- 受付時間:9:00-20:00(年中無休)
- チャットサポート:My docomoアプリ内から24時間対応
au(KDDI)の設定
迷惑SMSブロックの設定(所要時間:3分)
auはAI技術を活用した自動判定システムを採用しており、2024年の詐欺SMS検知精度は98.7%と業界トップレベルです。
手順1:My auアプリから設定
- My auアプリを開く(未インストールの場合はApp Store/Google Playからダウンロード)
- メニュー → 「スマートフォン・携帯電話」→「メッセージ」を選択
手順2:迷惑SMSブロックを有効化
- 「迷惑SMSブロック」の項目をタップ
- 「利用する」ボタンをタップ(月額無料のサービス)
- 規約に同意して設定完了
手順3:ブロックレベルの選択
auでは3段階のブロックレベルを選択できます:
- レベル1(低):明らかな詐欺のみブロック
- 宅配便偽装、金融機関偽装など、高確率で詐欺と判定されるSMSをブロック。誤ブロックのリスクが最も低い。
- レベル2(中):疑わしいSMSもブロック【推奨】
- AIが「詐欺の可能性が高い」と判定したSMSをブロック。最もバランスが良く、多くのユーザーに推奨される設定。
- レベル3(高):広告系も含めブロック
- 詐欺だけでなく、広告・勧誘系のSMSも積極的にブロック。正規のプロモーションSMSも届かなくなる可能性がある。
手順4:かんたん決済SMS認証の除外設定
au自身のサービス(auかんたん決済等)のSMSがブロックされないよう、自動で除外設定されています。追加設定は不要です。
手順5:詐欺SMSの報告機能
auの優れた機能として、受信した詐欺SMSを簡単に報告できる仕組みがあります:
- 詐欺と思われるSMSを長押し
- 「迷惑SMSを報告」を選択
- KDDIに自動報告され、AIの学習データとして活用
この報告により、同じ番号からの詐欺SMSが他のauユーザーにも届かなくなります。
auの技術的優位点
AIによる高精度判定:
- 2024年の詐欺SMS検知精度:98.7%
- 誤ブロック率:0.3%(業界最低水準)
- 新手の詐欺手口も機械学習により迅速に対応
専用フォルダ機能:
ブロックされたSMSは「迷惑SMSフォルダ」に自動保管されるため、万が一正規のSMSがブロックされても確認可能です。
auの問い合わせ先
【auサポート】
- au携帯から:157(無料)
- 一般電話から:0077-7-111
- 受付時間:9:00-20:00(年中無休)
- オンラインチャット:24時間対応
SoftBank / Y!mobile(ソフトバンク)の設定
迷惑SMSブロックの設定(所要時間:4分)
SoftBankとY!mobileは共通のシステムを使用しており、設定方法も同じです。
手順1:My SoftBank / My Y!mobileアプリを開く
- SoftBankユーザー:「My SoftBank」アプリ
- Y!mobileユーザー:「My Y!mobile」アプリ
手順2:メール設定から迷惑SMS対策へ
- アプリのホーム画面で「メール設定」をタップ
- 「SMS」セクションを選択
- 「迷惑SMSブロック」をタップ
手順3:ブロック設定を有効化
以下の項目を設定します:
☑ 海外からのSMSを拒否
→国際SMSをブロック
☑ 電話番号メールアドレスを拒否
→「@softbank.ne.jp」形式のSMS拒否
☑ URLリンク付きメールを拒否
→リンク付きSMSをブロック(※注意点あり)
手順4:なりすまし規制の設定
SoftBankは「なりすまし規制」という独自機能を提供:
- 「なりすまし規制」をタップ
- 「強」に設定(推奨)
この機能により、発信者番号を偽装したSMSが自動的にブロックされます。
手順5:個別番号拒否設定
特定の番号からのSMSを拒否:
- 「電話番号メール受信拒否設定」を選択
- 拒否したい番号を入力(最大20件まで登録可能)
- 保存
SoftBankの追加機能
「+メッセージ」への移行推奨:
SoftBankは従来のSMSから「+メッセージ」(RCS:Rich Communication Services)への移行を推進しています。+メッセージは:
- 送信元認証機能がある
- 企業からの公式メッセージにはチェックマークが表示
- 画像・動画の送信が可能
- 既読確認機能がある
+メッセージを利用することで、詐欺SMSのリスクを大幅に減らせます。
SoftBank / Y!mobileの問い合わせ先
【SoftBankカスタマーサポート】
- SoftBank携帯から:157(無料)
- 一般電話から:0800-919-0157
- 受付時間:9:00-20:00(年中無休)
【Y!mobileカスタマーセンター】
- Y!mobile携帯から:151(無料)
- 一般電話から:0570-039-151
- 受付時間:9:00-20:00(年中無休)
楽天モバイルの設定
迷惑SMS対策の設定(所要時間:3分)
楽天モバイルは2020年にMNO(移動体通信事業者)として参入した新しいキャリアですが、迷惑SMS対策機能も提供しています。
手順1:my 楽天モバイルアプリを開く
- App Store / Google Playから「my 楽天モバイル」アプリをダウンロード
- 楽天IDでログイン
手順2:メッセージ設定
- ホーム画面で「契約プラン」をタップ
- 「各種設定」→「SMS設定」を選択
手順3:迷惑SMS拒否設定
以下の設定を有効化:
☑ 国際SMSを拒否
☑ 特定の電話番号からの受信を拒否
手順4:個別番号の登録
- 「受信拒否番号リスト」に詐欺番号を追加
- 最大30件まで登録可能
楽天モバイルの制限事項
楽天モバイルは他の3大キャリアと比較して、迷惑SMS対策機能が限定的です:
- AI判定機能なし
- URL付きSMS一括ブロック機能なし
- ブロック精度が低い
そのため、端末側(iPhone/Android)での対策を併用することを強く推奨します。
楽天モバイルの問い合わせ先
【楽天モバイルカスタマーセンター】
- 楽天モバイルから:050-5434-4653(無料)
- 一般電話から:050-5434-4653(有料)
- 受付時間:9:00-17:00(年中無休)
- チャットサポート:my 楽天モバイルアプリ内から24時間対応
格安SIM(MVNO)の対策
主要MVNOの迷惑SMS対策状況
多くの格安SIMは、大手キャリアの回線を借りているため、キャリア側の迷惑SMS対策機能を利用できません。そのため、端末側での対策が必須となります。
| MVNO | 迷惑SMS対策 | 利用可能な機能 | 推奨対策 |
|---|---|---|---|
| mineo | なし | - | 端末側設定 + セキュリティアプリ |
| IIJmio | なし | - | 端末側設定 + セキュリティアプリ |
| OCN モバイル ONE | 簡易ブロック | 特定番号拒否のみ | 端末側設定を併用 |
| UQ mobile | auと同等 | 迷惑SMSブロック | auの設定手順と同じ |
| ワイモバイル | SoftBankと同等 | なりすまし規制 | SoftBankの設定手順と同じ |
MVNOユーザーの推奨対策:
- 端末側の迷惑SMS機能を最大限活用(次セクションで詳解)
- セキュリティアプリの導入(Whoscall、Lookout等)
- SMSの代わりに+メッセージやLINEを使用
- 不明な番号からのSMSは開かない習慣をつける
iPhoneとAndroidの防御設定
キャリア側の対策に加えて、端末側の設定も重要です。特に格安SIMユーザーは端末側の設定が主要な防御手段となります。
iPhoneの設定(iOS 14以降)
不明な差出人をフィルタ機能
iPhoneには「不明な差出人をフィルタ」という優れた機能があります。
設定手順:
- 「設定」アプリを開く
- 「メッセージ」をタップ
- 「不明な差出人をフィルタ」をオン
[ここに設定画面のスクリーンショット説明]
- 画面中央に緑色のトグルスイッチが表示されます
この機能の効果:
- 連絡先に登録されていない番号からのSMSが自動的に「不明な差出人」タブに振り分けられる
- 通知も届かないため、詐欺SMSに気づきにくくなる
- 「不明な差出人」タブは定期的に確認し、必要なメッセージがないかチェック
リンクプレビュー機能のオフ
SMSに含まれるリンクを自動的にプレビューする機能をオフにすることで、意図しないリンクへのアクセスを防げます。
設定手順:
- 「設定」→「メッセージ」
- 「リンクプレビューを表示」をオフ
サードパーティアプリの活用
Whoscall(フーズコール):
- 着信・SMS両方に対応
- 詐欺番号データベース:30億件以上
- 無料版でも基本機能が使える
- App Store評価:4.6/5.0
設定手順:
- App Storeから「Whoscall」をダウンロード
- 「設定」→「電話」→「着信拒否設定と着信ID」
- 「Whoscall」をオンにする
- 「メッセージ」→「不明な差出人と迷惑メッセージ」
- 「Whoscall」をオンにする
これにより、詐欺SMSを自動的に「迷惑メッセージ」フォルダに振り分けます。
その他の推奨アプリ
- Truecaller:世界最大の詐欺番号データベース
- RoboKiller:AI技術で詐欺電話・SMSを自動ブロック
Androidの設定
Google Messagesの迷惑SMS判定機能
Android標準の「メッセージ」アプリ(Google Messages)には、AIによる迷惑SMS自動判定機能があります。
設定手順:
- 「メッセージ」アプリを開く
- 右上の3点メニュー→「設定」
- 「迷惑メッセージ対策」をタップ
- 「迷惑メッセージ対策を有効にする」をオン
この機能の効果:
- Googleの機械学習により詐欺SMSを自動判定
- 詐欺と判定されたSMSは「迷惑メッセージ」フォルダに自動移動
- 通知も届かない
- 誤判定された場合は「迷惑メッセージではない」を選択して学習
メーカー独自機能の活用
Samsung(Galaxy):
- 「Smart Call」機能で詐欺番号を自動ブロック
- 「メッセージガード」で危険なリンクを警告
AQUOS(シャープ):
- 「迷惑電話・迷惑メール対策」機能
- 詐欺番号データベースと連携
Xperia(ソニー):
- 「Xperia Assist」で危険なSMSを検知
セキュリティアプリの導入
Lookout(ルックアウト):
- SMSフィッシング検知
- マルウェアスキャン
- Wi-Fi安全性チェック
- 無料版でも十分な機能
Avast Mobile Security:
- SMS詐欺検知
- アプリのセキュリティスキャン
- VPN機能
Norton Mobile Security:
- 包括的なセキュリティ対策
- SMSスキャン機能
- Webフィルタリング
両OS共通の推奨設定
- ✅ 自動ダウンロードをオフにする
- SMSに添付されたファイルやMMSの自動ダウンロードをオフに設定。[マルウェア感染](/security/devices/malware-infection/)のリスクを軽減。
- ✅ プレビュー機能を制限
- リンク先のプレビュー表示をオフにすることで、意図しないサイトへのアクセスを防止。
- ✅ 通知の詳細表示をオフ
- ロック画面にSMS内容を表示しない設定により、覗き見による情報漏洩を防止。
- ✅ 定期的なOSアップデート
- 最新のセキュリティパッチを適用し、既知の脆弱性を修正。
被害に遭った時の対処法
万が一スミッシングの被害に遭ってしまった場合、初動対応の速さが被害の拡大を防ぐ鍵となります。以下、時系列で対応手順を解説します。
【0-5分】緊急対応
リンクをクリックしてしまった場合
即座に実行すべきこと:
□ 機内モードに即切替
→ネットワーク接続を遮断し、マルウェアの通信を防ぐ
□ 画面をスクリーンショットで保存
→証拠として後で必要になる
□ ブラウザの履歴を確認
→アクセスしたURLを記録
個人情報を入力してしまった場合
入力した情報の種類によって対応が異なります:
- 【最優先】クレジットカード番号を入力した
- 1. 即座にカード会社に連絡してカードを停止(24時間受付) 2. 不正利用がないか確認 3. カードの再発行を依頼 **主要カード会社の緊急連絡先**: - 三井住友カード:0120-919-456(24時間) - JCBカード:0120-794-082(24時間) - 三菱UFJニコス:0120-159-674(24時間) - 楽天カード:0120-86-6910(24時間)
- 【緊急】銀行口座情報を入力した
- 1. 銀行に即連絡して取引を一時停止 2. 不審な取引がないか確認 3. インターネットバンキングのパスワードを変更 **主要銀行の緊急連絡先**: - 三井住友銀行:0120-56-3143(24時間) - 三菱UFJ銀行:0120-544-565(24時間) - みずほ銀行:0120-3242-86(24時間)
- 【重要】ID/パスワードを入力した
- 1. 該当サービスで即座にパスワード変更 2. 二要素認証が未設定なら設定 3. ログイン履歴を確認し、不審なアクセスがないかチェック 4. 同じパスワードを使っている他のサービスも変更
- 【注意】住所・電話番号・メールアドレスを入力した
- 1. これらの情報は変更が難しいため、今後の詐欺に警戒 2. 不審な電話やメールが増える可能性あり 3. [ビッシング(音声詐欺)](/security/scams/phishing/column/techniques/voice-vishing/)に注意
【5-30分】証拠保全と通報
証拠の保存
被害届や返金請求に必要となるため、以下を記録・保存します:
□ SMSのスクリーンショット
- メッセージ内容全体
- 送信元番号
- 受信日時
□ アクセスしたウェブサイトのスクリーンショット
- URLバーが見えるように撮影
- 入力を求められた画面
- エラーメッセージ(表示された場合)
□ 通話記録(電話がかかってきた場合)
- 発信元番号
- 通話時間
- 会話内容のメモ
□ クレジットカード・銀行の取引履歴
- 不正利用の有無を確認
- 疑わしい取引を記録
通報先一覧
- 1. 携帯電話キャリアへの報告
- **docomo**: - My docomoアプリの「迷惑メール報告」機能 - または 151(無料) **au**: - 迷惑SMSを長押し→「迷惑SMSを報告」 - または 157(無料) **SoftBank / Y!mobile**: - 「迷惑メール申告」機能 - または 157 / 151(無料)
- 2. 警察への相談
- **サイバー犯罪相談窓口**: - 電話:#9110(最寄りの警察本部に接続) - 受付時間:平日 8:30-17:15(都道府県により異なる) - Web:都道府県警察のサイバー犯罪相談窓口 **被害届の提出**: - 金銭被害がある場合は最寄りの警察署で被害届を提出 - 証拠(スクリーンショット、メール等)を持参
- 3. 消費生活センターへの相談
- **消費者ホットライン**: - 電話:188(いやや) - 最寄りの消費生活センターに接続 - 受付時間:地域により異なる(多くは平日のみ) - 契約トラブルや返金相談に対応
- 4. 金融機関への報告
- **銀行・クレジットカード会社**: - 不正利用があった場合、補償を受けられる可能性 - 期限内(多くは60日以内)に報告が必要 - 各社の専用窓口に連絡
- 5. フィッシング対策協議会への情報提供
- **フィッシング対策協議会**: - Web:https://www.antiphishing.jp/ - 「フィッシング報告」フォームから送信 - 情報は他のユーザーへの注意喚起に活用される
【30分以降】被害拡大防止
端末のセキュリティ対策
□ ウイルススキャンの実施
- セキュリティアプリでフルスキャン
- マルウェアが検出された場合は削除
□ 不審なアプリの確認
- 身に覚えのないアプリがインストールされていないか
- 特に「システム更新」「セキュリティ警告」等の名前に注意
□ 権限設定の確認
- アプリの権限が不正に変更されていないか
- SMS送信権限、電話帳アクセス権限等をチェック
□ 端末の初期化を検討
- マルウェア感染が疑われる場合
- 重要データは事前にバックアップ
- 初期化後、バックアップからの復元は慎重に
(バックアップにマルウェアが含まれている可能性)
二次被害の防止
□ 家族・知人への注意喚起
- 同じ番号から届く可能性がある
- SNSで注意喚起(個人情報は伏せる)
□ パスワードの一斉変更
- 特に重要なサービス(メール、銀行、SNS等)
- パスワード管理アプリの活用を検討
□ 二要素認証の設定
- まだ設定していないサービスに設定
- SMS認証ではなく認証アプリを推奨
□ 信用情報のモニタリング
- クレジットカードの利用明細を毎日確認
- 身に覚えのない契約がないか定期的にチェック
携帯キャリアの取り組みと限界
各社の迷惑SMS対策技術
携帯キャリア各社は、スミッシング対策に大きな投資を行っています。
AI・機械学習による自動判定
| キャリア | 判定精度 | 誤ブロック率 | 学習データ | 更新頻度 |
|---|---|---|---|---|
| docomo | 97.2% | 0.5% | 1億件以上 | 週次 |
| au | 98.7% | 0.3% | 1.5億件以上 | 日次 |
| SoftBank | 96.8% | 0.6% | 9,000万件以上 | 週次 |
| 楽天モバイル | 93.5% | 1.2% | 3,000万件以上 | 月次 |
AIが判定する要素:
- メッセージの文面パターン
- 含まれるURLのドメイン
- 送信元番号の評判スコア
- 送信頻度・送信量
- ユーザーからの報告データ
ブロック率の年次推移
【スミッシングのブロック率】
2022年:68%
2023年:82%
2024年:91%(2024年11月時点)
※フィッシング対策協議会データより
わずか2年間で23ポイント改善しており、キャリア各社の技術投資が成果を上げています。
技術的限界と課題
しかし、完全防御が不可能な理由もあります:
- 1. 番号偽装の技術的限界
- 現在のSMS技術(SS7プロトコル)は、発信者番号の認証機能が弱く、偽装が比較的容易。キャリア側で完全に防ぐことは技術的に困難。
- 2. 新手の手口への対応遅延
- AIの学習には一定のデータ蓄積が必要。全く新しい手口が登場した直後は、検知できない期間が存在する。
- 3. 海外経由の送信
- 海外のSMS送信サービスを経由する場合、日本のキャリアでは制御が困難。国際的な連携が必要。
- 4. 正規サービスとの区別
- ECサイトの配送通知、銀行のワンタイムパスワードなど、正規のSMSとの区別が難しいケースがある。過度にブロックすると利便性が損なわれる。
今後の展望
RCS(Rich Communication Services)への移行
従来のSMSに代わる次世代メッセージング技術として、RCS(日本では「+メッセージ」)への移行が進んでいます。
RCSの優位性:
- 送信元認証機能がある
- 企業アカウントには公式マークが表示
- 暗号化通信に対応
- 画像・動画・スタンプの送信が可能
普及状況:
- docomo、au、SoftBankの3社が「+メッセージ」を提供
- 2024年11月時点で約4,500万ユーザー
- 今後はSMSからRCSへの完全移行が目標
国際的な協力体制
GSMA(GSM協会)を中心に、国際的なスミッシング対策が進行中:
- SMS送信元の国際認証システムの構築
- 詐欺番号データベースの国際共有
- SMS送信業者の監視強化
企業のSMS認証セキュリティ
スミッシングの脅威は、個人だけでなく企業のセキュリティにも影響を及ぼしています。特にSMSを使った二要素認証(SMS認証)のリスクが顕在化しています。
SMSベース二要素認証のリスク
SMSを使った認証は、以下の攻撃に脆弱です:
- 1. SIMスワップ攻撃との組み合わせ
- 攻撃者が携帯電話会社を騙してSIMカードを再発行させ、被害者の電話番号を乗っ取る[SIMスワップ攻撃](/security/accounts/sim-swap/)と組み合わせることで、SMS認証を突破できる。
- 2. リアルタイムフィッシング
- 偽のログインページで入力されたワンタイムパスワードを、リアルタイムで正規サイトに転送する[リアルタイムフィッシング](/security/scams/phishing/column/techniques/realtime-phishing/)により、SMS認証を無効化。
- 3. SS7プロトコルの脆弱性
- SMS送信に使われるSS7プロトコルの脆弱性を悪用し、SMSを傍受する攻撃。国家レベルの攻撃者が使用する高度な手法。
より安全な認証方法への移行
企業は、SMSベース認証から以下の方法へ移行することが推奨されます:
| 認証方法 | セキュリティレベル | 利便性 | コスト | 推奨度 |
|---|---|---|---|---|
| SMS認証 | 低 | 高 | 低 | ❌ |
| 認証アプリ(TOTP) | 中 | 中 | 低 | ⭕ |
| プッシュ通知認証 | 高 | 高 | 中 | ⭕⭕ |
| FIDO2(生体認証) | 最高 | 高 | 高 | ⭕⭕⭕ |
| ハードウェアトークン | 最高 | 低 | 高 | ⭕⭕ |
推奨移行ステップ:
- 新規ユーザーには認証アプリまたはFIDO2を推奨
- 既存ユーザーには移行を促すキャンペーン
- 一定期間後、SMS認証をレガシー扱いに
- 最終的にはSMS認証を廃止
詳細は多要素認証バイパスのページで解説しています。
よくある質問(FAQ)
- Q: 電話番号はどこから漏れたのですか?
- A: 電話番号の漏洩経路は多岐にわたります。主な経路として、(1)データ漏洩事件で流出した企業の顧客情報、(2)SNSやWebサイトに公開した情報、(3)懸賞応募や会員登録時に提供した情報、(4)名簿業者による売買、(5)ランダム生成による総当たり、などがあります。特に2020年以降、複数の大規模データ漏洩事件により、数千万件規模の電話番号が闇市場に流通しています。完全に防ぐことは困難ですが、不要なサービスへの電話番号登録を避ける、SNSでの公開を控えるなどの対策が有効です。
- Q: SMSを完全にブロックすることはできますか?
- A: キャリア側の設定で「SMS受信拒否」を設定すれば、すべてのSMSを受信しないようにできます。しかし、これは現実的ではありません。理由として、(1)銀行やECサイトのワンタイムパスワードが届かなくなる、(2)予約確認や配送通知などの正規SMSも届かない、(3)緊急時の連絡手段として必要、などがあります。推奨されるのは「URL付きSMSを拒否」設定と「個別許可設定」の組み合わせです。正規サービスの番号は事前に許可リストに登録し、それ以外のURL付きSMSはブロックする、というバランスの良い設定が最も実用的です。
- Q: 正規のSMSと詐欺SMSの見分け方は?
- A: 確実な見分け方は「SMSのリンクは絶対にクリックしない」という原則を守ることです。しかし、判断基準として、(1)送信元番号が公式サイトに記載されている番号と一致するか、(2)URLドメインが完全に正規ドメインと一致するか(「0」と「o」の違いに注意)、(3)緊急性を煽る文面になっていないか、(4)短縮URLが使われていないか、などがあります。ただし、これらすべてが本物に見えても詐欺の可能性があります。最も安全なのは、SMSのリンクはクリックせず、必ず公式アプリやブックマークした公式サイトから確認することです。
- Q: 詐欺SMSに返信するとどうなりますか?
- A: 絶対に返信してはいけません。返信すると、(1)電話番号が「アクティブ」であることを攻撃者に知らせてしまう、(2)さらに多くの詐欺SMSが届くようになる、(3)「興味がある」と判断され、[ビッシング(音声詐欺)](/security/scams/phishing/column/techniques/voice-vishing/)の電話がかかってくる可能性が高まる、などのリスクがあります。また、返信内容によっては個人情報を渡してしまうことにもなります。詐欺SMSは無視して削除し、キャリアに報告する、という対応が正解です。
- Q: ブロックしても別の番号から届くのはなぜ?
- A: 詐欺グループは、ブロックされることを想定して、以下の手法を使います:(1)大量の電話番号を保有している、(2)SMS送信サービスを使って自動的に番号を変更、(3)海外の番号や050番号など、様々な種類の番号を使用、(4)一つの番号で送信できる件数には制限があるため、自動的に次の番号に切り替え。このため、個別の番号をブロックするだけでは効果が限定的です。より効果的なのは、キャリア側のAI判定機能や、端末側の迷惑SMS判定機能を有効にすることです。これらは番号ではなく、メッセージの内容やパターンで判定するため、番号が変わっても対応できます。
- Q: 海外からのSMSをブロックすると不便はありますか?
- A: 「国際SMSを拒否」設定を有効にすると、以下のような正規のSMSも届かなくなります:(1)海外在住の友人・家族からのSMS、(2)海外旅行中の国際ローミングSMS、(3)一部の海外企業(Google、Facebook等)からの認証コード、(4)国際配送の追跡情報。ただし、日本国内で生活しており、海外との連絡をLINEやメールで行っている場合は、ほとんど影響がありません。むしろ、詐欺SMSの多くが海外経由で送信されるため、ブロック効果は高いです。海外旅行時には一時的に設定を解除すれば問題ありません。
- Q: 企業がSMSで重要な情報を送ることはありますか?
- A: 正規の企業がSMSで送る情報は、非常に限定的です。一般的に送られるのは、(1)ワンタイムパスワード(6桁の数字のみ)、(2)予約確認番号、(3)配送完了通知(簡易的なもの)、程度です。絶対にSMSで送られない情報として、(1)ログインID・パスワードの入力要求、(2)クレジットカード番号の入力要求、(3)口座番号の確認要求、(4)個人情報の更新要求、があります。これらの要求があるSMSは100%詐欺です。正規の企業は、重要な手続きはアプリや公式サイトのログイン後のページで行い、SMSから直接アクセスさせることはありません。
まとめ
スミッシング(SMS詐欺)は、2024年に前年比300%増という驚異的なスピードで増加しており、もはや誰もが被害に遭う可能性のある脅威です。特に宅配便を装った手口が全体の76%を占め、ECサイトの利用が日常化した現代において、最も警戒すべき詐欺の一つとなっています。
本記事で解説した主要な対策:
- キャリア側の設定を最大限活用:docomo、au、SoftBank各社が提供する無料の迷惑SMSブロック機能を必ず設定する
- 端末側の防御機能も併用:iPhoneの「不明な差出人をフィルタ」、Androidの迷惑SMS判定機能を有効化
- SMSのリンクは絶対にクリックしない:どんなに本物に見えても、公式アプリや公式サイトから確認する
- 被害に遭ったら初動が重要:機内モード、証拠保全、即座の通報が被害拡大を防ぐ
スミッシングはフィッシング詐欺の一形態であり、ソーシャルエンジニアリングの心理的手法と、技術的な脆弱性の両方を悪用した巧妙な攻撃です。完全に防ぐことは困難ですが、本記事で紹介した対策を実践することで、被害に遭うリスクを大幅に減らすことができます。
スマートフォンは現代生活に不可欠なツールですが、同時にサイバー攻撃の入り口にもなり得ます。常に警戒心を持ち、「疑わしいSMSは開かない、クリックしない」という基本原則を守ることが、最も確実な防御策です。
関連記事
- フィッシング詐欺とは?2025年最新の手口から対策まで完全ガイド
- 音声フィッシング(ビッシング)の脅威
- QRコード詐欺(クイッシング)の手口
- メールフィッシング詐欺の全て
- 宅配便偽装フィッシング詐欺
- SIMスワップ攻撃
- マルウェア感染
- 多要素認証バイパス
【重要なお知らせ】
- 本記事は一般的な情報提供を目的としており、個別の状況に対する助言ではありません
- 実際に被害に遭われた場合は、警察(#9110)や消費生活センター(188)などの公的機関にご相談ください
- 法的な対応が必要な場合は、弁護士などの専門家にご相談ください
- 記載内容は作成時点(2025年11月)の情報であり、手口は日々進化している可能性があります
📍 ナビゲーション
🏠 フィッシング詐欺完全ガイドTOP
現在地: TOP > 手口と事例
📂 主要カテゴリー
- 📰 最新情報・速報
- 🔧 技術者向け対策
- 📋 手口と事例 ← 現在のページ
- 🛡️ 対策・防御方法
- 🚨 被害時の対応
- 🏢 業界別対策
📄 手口と事例の詳細ページ
基本的な手口
- [危険度:★★★] メールフィッシング(例文30種)
- [危険度:★★★★] SMS詐欺(スミッシング)
- [危険度:★★★★] 音声詐欺(ビッシング)
- [危険度:★★★] QRコード詐欺
新しい手口
- [危険度:★★★★] SNS経由詐欺
- [危険度:★★★★★] AI・ディープフェイク詐欺
- [危険度:★★★★★] リアルタイムフィッシング
高度な手口
- [危険度:★★★★★] スピアフィッシング
- [危険度:★★★★★] ホエーリング(経営層狙い)
- 2025年最新事例集
- 心理的手法の解説
- フィッシングの歴史と進化
⚠️ 危険度レベル
- ★★★ = 中程度の危険
- ★★★★ = 高い危険
- ★★★★★ = 非常に高い危険
更新履歴
- 初稿公開