スマホに届く怪しいSMS…「スミッシング」の巧妙な手口と今すぐできる対策を徹底解説

2026年6月1日

URLをコピーしました！

「お荷物のお届けにあがりましたが、不在のため持ち帰りました」「お客様のクレジットカードで、不正な利用の可能性を検知しました」スマホの画面に、こんなメッセージが突然届いたことはありませんか？「あれ、何か買ったっけ？」「えっ、不正利用！？」と、思わず焦って記載されているURLを押しそうになった方も多いはず。

実はこれ、いま非常に多くの被害を出している「スミッシング（Smishing）」という悪質な詐欺の可能性が極めて高いです。「自分は騙されないから大丈夫」と思っていても、最近の詐欺グループの手口は本当に巧妙です。実在する有名な会社をそっくりそのまま真似て送ってくるため、ふとした隙に「本物だ」と思い込まされてしまうケースが後を絶ちません。

今回は、このスミッシングとは一体どんなものなのか、つい騙されてしまいそうなリアルな手口から、被害に遭わないための防衛策、そして「万が一URLを押してしまったとき」の具体的な対処法までを分かりやすくまとめました。

スミッシング（Smishing）って何？メールの詐欺と何が違う？

スミッシングの言葉の由来

まず「スミッシング（Smishing）」というちょっと聞き慣れない言葉ですが、これは携帯電話の番号で短い文章を送り合う「SMS（ショートメッセージ）」と、ネットの詐欺でおなじみの「フィッシング（Phishing）」を合体させた言葉です。

これまでは「詐欺のメッセージ＝迷惑メール」というイメージが強かったですよね。しかし最近は、メールではなく、このスマホのSMSを使った詐欺が爆発的に増えています。これが「スミッシング」と呼ばれるものです。

なぜ、メールじゃなくて「SMS」が狙われるのか？

詐欺グループがメールからSMSへ乗り換えているのには、彼らにとって都合の良い「3つの理由」があります。

とにかく目につきやすい（開封率が高い）
- パソコンやスマホのメールだと、強力な迷惑メールフィルターのせいで、詐欺メールは自動的にゴミ箱へ直行することが増えました。しかし、電話番号宛てに届くSMSはフィルターをすり抜けやすく、スマホの画面に「ポップアップ（通知）」として大きく表示されます。そのため、どうしてもパッと目に入り、開いてしまう確率が圧倒的に高いのです。
「重要なお知らせ」だと思い込みやすい：
- 私たちが普段SMSを使うのってどんな時でしょうか。2段階認証のパスコードを受け取ったり、企業からの本当に大事な連絡だったりすることが多いですよね。LINEやメールほど日常的に雑多なメッセージが届かない分、届いたときに「あ、大事な連絡かも」と信じ込んでしまいやすい心理の隙を突かれているわけです。
電話番号さえあれば誰にでも送れる：
- メアドと違って、携帯の電話番号は「090-XXXX-XXXX」のように数字の組み合わせです。詐欺グループはプログラムを使ってランダムに番号を作り、そこへ一斉にメッセージを送りつけています。数打てば当たる方式で、何万人もの中から「ちょうどそのサービスを使っていた人」が引っかかってしまうのを待っています。

「あっ、これ見たことある」急増中の巧妙な手口4選

スミッシングの一番厄介なところは、私たちが普段からよく使っている「超有名企業」の名前を騙って届く点です。特に被害が多い、代表的な4つのパターンを見ていきましょう。

① 宅配業者を装った「不在通知」

一番よく見かけるのが、ヤマト運輸や佐川急便、日本郵便といった大手の宅配業者になりすます手口です。「お荷物を届けにきましたが、不在のため持ち帰りました。以下のURLから再配達の指定をお願いします」といった文面で届きます。

ネット通販でよく買い物をする人なら、「何か届いたのかな？」とついURLを押してしまいがち。しかし、その先にあるのは本物そっくりに作られた偽物のウェブサイトです。そこで名前や住所を入力させられたり、スマホのセキュリティを解除して怪しいアプリを入れさせようとしてきたりします。

② 銀行やカード会社からの「不正利用の警告」

「あなたのカードが第三者に不正に利用されている可能性があります。至急、以下のリンクから本人確認を行ってください」「口座が一時的に凍結されました。解除はこちらから」

お金に関するこんなメッセージが来たら、誰だってパニックになりますよね。これこそが詐欺グループの狙いです。焦った状態でURLを押すと、これまた本物のネットバンキングそっくりのログイン画面が現れます。そこでIDやパスワード、暗証番号を入力した時点で、すべての情報が相手に盗まれてしまいます。

③ Amazonや楽天を騙る「アカウントの停止連絡」

「会員資格の更新ができませんでした」「お支払い方法に問題があります」「異常なログインを検知しました」など、大手ECサイトのアカウント情報を狙ったものも定番です。

普段から使い慣れているサービスだからこそ、警戒心が薄れてしまいがち。「早く直さないと買い物ができなくなる」と思わせて、クレジットカード情報を盗み出すのが彼らの目的です。

④ 携帯キャリアからの「料金未納・利用停止の脅し」

ドコモ、au、ソフトバンクといった携帯会社を装う手口も増えています。「今月の通信料金が未納となっています。本日中に支払いが確認できない場合、スマホの利用を停止します」といった、かなり強い言葉で脅してきます。

「スマホが使えなくなったら困る」と焦ってURLを開くと、電子マネー（Apple Gift CardやVプリカなど）のコードを入力して支払うよう指示されたり、クレジットカード情報を入力させられたりします。携帯会社が未払い金の支払いに電子マネーを要求することは絶対にありません。

もし騙されたらどうなる？想像以上に怖い3つのリアルな被害

もし、これらのメッセージに騙されてURLを開き、情報を入力してしまったら、一体どんなことが起きるのでしょうか。実際に起きているリアルな被害を3つ紹介します。

被害その1：クレジットカードの不正利用と個人情報の売買

偽サイトに入力してしまった名前、住所、電話番号、そしてクレジットカードの番号やセキュリティコードは、すべて詐欺グループの手元に渡ります。その日のうちに、ネットショップで高額なブランド品や家電を勝手に買われてしまうといった被害が直撃します。それだけでなく、あなたの個人情報が「騙されやすい人のリスト」として、闇ルートで別の詐欺グループに転売されるリスクもあります。

被害その2：ネットバンキングからの「不正送金」

銀行のログインIDやパスワード、さらにその場でスマホに届いた「ワンタイムパスワード」まで偽サイトに入力してしまうと、大変なことになります。詐欺グループが本物のネットバンキングにリアルタイムでログインし、口座にある大切なお金を、跡形もなく海外や別口座へ全額送金してしまうという被害が実際に起きています。

被害その3：スマホの乗っ取りと「加害者」への転落

URLを押した際、画面に「セキュリティを強化するためにこのアプリを連動してください」などと表示され、言われるがままに怪しいファイルをダウンロードしてしまうケースがあります。これはスマホを遠隔操作するためのウイルスです。これに感染すると、スマホ内の写真や連絡先が盗まれるだけでなく、「あなたのスマホから、何千人もの見知らぬ人へスミッシングのメッセージを勝手に大量送信される」という恐ろしい事態になります。自分の知らないうちに、自分が詐欺の手伝いをさせられ、被害者から一転して「加害者」にされてしまうのです。

今日からできる！スミッシング被害を未然に防ぐ5つの鉄則

スミッシングは、手口と対策さえ知っていれば怖くありません。スマホを使う上で、今日から以下の5つのルールを徹底してください。

鉄則1：SMSのURLは「絶対に押さない」と決める

一番シンプルで最強の対策は、「SMSに載っているURLは基本すべて疑う、押さない」と心に決めることです。たとえ知っている企業名から届いたとしても、メッセージ内のURLからアクセスするのはやめましょう。

鉄則2：確認は必ず「公式アプリ」か「ブックマーク」から

もし「本当にカードが不正利用されているかも…」と不安になったら、SMSのURLではなく、スマホに入っている公式アプリを開くか、あらかじめお気に入りに登録してある公式サイトからログインして確認してください。本当に重要なお知らせであれば、公式のマイページやアプリ内の通知にも必ず同じ連絡が届いているはずです。

鉄則3. 表示されている「名前」を信じない

スマホの画面に「〇〇銀行」や「ヤマト運輸」と表示されていても、それを鵜呑みにしてはいけません。現在の技術では、送信元の表示名や電話番号を本物と同じに見せかける偽装工作が簡単にできてしまいます。「名前が本物っぽいから大丈夫」は通用しない時代です。

鉄則4. ネットで「企業名＋ SMS 詐欺」で検索してみる

怪しいメッセージが届いたら、文面をそのままコピーするか、企業名と一緒にネットで検索してみてください。大手の企業であれば、公式サイトで「当社を騙る不審なSMSが発生しています」と、実際の犯行文面を載せて注意喚起してくれています。

鉄則5. キャリアの「迷惑SMSブロック機能」を有効にする

各携帯会社（ドコモ、au、ソフトバンクなど）は、詐欺のような怪しいSMSを自動で検知して届かないようにする無料のブロックサービスを提供しています。初期設定でオンになっていることが多いですが、念のため自分のスマホの設定やマイページから、迷惑SMS拒否機能がしっかり有効になっているか確認しておきましょう。

【緊急時の対処法】もしURLを押してしまった・情報を入力してしまったら

どれだけ気をつけていても、「寝起きでボーッとしていて押してしまった」「慌てていて入力してしまった」ということはあります。もしやってしまったら、パニックにならず、次の行動を「今すぐ」起こしてください。

パターンA：URLを開いただけで、何も入力していない場合

すぐにブラウザ（ネットを開いている画面）のタブを閉じてください。基本的には、サイトを開いただけで情報を何も入れていなければ、個人情報が盗まれることはありません。念のため、スマホの設定画面から「見知らぬ怪しいアプリ」が勝手にインストールされていないかチェックし、あればすぐに削除しましょう。

パターンB：IDやパスワードを入力してしまった場合

すぐに「本物の公式サイト」や「公式アプリ」からログインし、パスワードを大至急変更してください。詐欺グループがあなたの口座やアカウントにログインする前に変更できれば、被害を食い止めることができます。もしすでにログインできなくなっている場合は、すぐにそのサービスの運営会社（カスタマーサポート）へ連絡し、アカウントを停止してもらってください。

パターンC：カード番号や銀行口座を入れてしまった場合

一刻を争います。夜間や休日であっても関係なく、クレジットカード会社の「紛失・盗難受付窓口」や、銀行の「緊急連絡先」にすぐに電話をかけてください。「詐欺サイトに番号を入力してしまったので、今すぐカード（口座）を止めてください」と伝えれば、その時点での不正利用を防ぐことができます。

パターンD：怪しいアプリをインストールしてしまった場合

スマホを「機内モード」にしてネット通信を完全に遮断した上で、そのアプリを長押ししてアンインストール（削除）してください。もし削除の仕方が分からない、あるいはスマホの挙動がおかしい場合は、スマホを購入したキャリアのショップに相談するか、最悪の場合はスマホ全体の初期化（工場出荷状態に戻す）が必要になります。