スミッシングとは？仕組みと企業が取り組むべき対策を解説

近年、SMS（ショートメッセージ）を悪用した巧妙なフィッシング詐欺「スミッシング」の被害が急増しています。スマートフォン利用者であれば誰もが標的となり得るため、企業のセキュリティ担当者にとっても無視できない脅威です。

本記事では、スミッシングの基本から手口の流れ、具体的な被害事例、そして企業が講じるべき対策と万一被害に遭った際の対応策まで解説します。

スミッシングとは？

スミッシングはSMSを使ったフィッシング詐欺です。ここではスミッシングの基本やフィッシングとの違い、被害を防ぐための対策について詳しく解説します。

スミッシングの基礎知識

スミッシング（Smishing）とは、SMS（Short Message Service）とフィッシング（Phishing）を組み合わせた造語で、SMSを悪用したフィッシング詐欺の一種です。攻撃者が実在の企業やサービスになりすまして偽のSMSを送りつけ、受信者にリンクをクリックさせたり個人情報を入力させたりする手口を指します。

メールを用いる従来型のフィッシングとは送信手段が異なるだけで、本物そっくりの偽サイトへ誘導してIDやパスワード、クレジットカード番号などを盗み取ったり、スマートフォンにマルウェア（不正アプリ）を感染させたりする点で共通しています。

たとえば「あなたの口座に不正アクセスがありました。至急こちらから確認してください」など緊急性を装ったメッセージが代表的です。メッセージ内のリンクをクリックすると本物そっくりの偽サイトに誘導され、利用者は気づかないうちに個人情報を入力させられたり、不審なアプリをダウンロードさせられたりします。

近年はスマートフォンの普及やオンラインサービス利用増加に伴って被害が拡大していることもあり、スミッシングは身近なサイバー犯罪といえるでしょう。

スミッシングとフィッシングの違い

スミッシングと従来のメール等によるフィッシングとの大きな違いは「利用する媒体」にあります。

フィッシング詐欺は主に電子メールや偽のWebサイトを用いますが、スミッシングが悪用するのはSMSやメッセージアプリ上のテキストメッセージです。

SMSは携帯電話番号宛に直接届くため、メールよりも開封率やクリック率が極めて高い傾向があります。実際、調査によればSMS内のリンクがクリックされる割合は約8.9～14.5%であり、平均クリック率1.5%程度のメールに比べて格段に高いと報告されています。

近年はメールのスパムフィルター強化や迷惑電話対策が進み、攻撃メールや詐欺電話が届きにくくなりました。犯罪者が相対的に抜け穴となるSMSに手口をシフトさせているのも、スミッシング攻撃が増加している背景となっています。

スミッシングの仕組み

スミッシング攻撃は、偽SMS送信から始まり、ユーザーを巧妙に偽サイトへ誘導して情報を盗み取る一連のプロセスで成立します。近年のスミッシングは受信者の端末に合わせて手口を変化させる高度な手法も確認されており、Androidでは不正アプリのインストール、iPhoneなどiOSでは偽サイトでのフィッシングといったように、OSごとに異なる攻撃が行われる傾向があります。

ここからは、SMS受信から情報搾取・不正アクセスに至るまでの一般的な流れと、そのメカニズムを見ていきましょう。

SMS送信からリンク誘導までの流れ

まず、攻撃者はターゲットの電話番号宛に偽装SMSを送りつけます。SMSの文面には金融機関や宅配業者、通販サイトなど受信者が利用していそうな企業名が使われ、「重要なお知らせ」「お支払いに問題が発生」等、受信者の不安を煽ったり関心を引いたりする内容が記載されているのが特徴です。

メッセージには必ず偽サイトへのURLリンクが含まれており、受信者がタップすると巧妙に作り込まれたフィッシングサイトに誘導されます。リンク先の偽サイトがアクセス元の端末OSを自動判別して、異なる攻撃を仕掛ける手口もあり、受信者が信頼しやすい巧妙な手口が使われるケースも少なくありません。

情報入力・不正アクセスの発生メカニズム

偽サイトにログイン情報やクレジットカード番号などを入力してしまうと、情報は攻撃者の手に渡ります。攻撃者はその認証情報を使い、銀行口座へ不正ログインして送金したり、クレジットカードで勝手に買い物をしたりするなどの犯罪行為を行います。

不正なマルウェアをインストールさせられた場合は、端末を起動しただけで攻撃者のサーバーと通信を開始し、端末内のデータを盗み出します。

このように、スミッシングはフィッシング詐欺とマルウェア感染が組み合わさった複合型攻撃であり、一度被害に遭うと連鎖的に拡大する危険性があります。

関連記事：トロイの木馬とは？種類や感染経路、対策方法を徹底解説
関連記事：パスワードリスト攻撃（リスト型攻撃）とは？標的にされる原因や対策を解説

企業が取り組むべきスミッシング対策

企業のセキュリティ担当者は、スミッシングから自社と従業員を守るために技術面・人的面の両面から対策を講じる必要があります。スミッシングはメールフィルターでは防げないSMS経由の攻撃です。そのため、通信事業者が提供するフィルタリング機能や、自社のモバイル向けセキュリティツールを活用することが重要です。

また、最終防衛ラインである従業員一人ひとりのリテラシー向上も欠かせません。では、具体的な技術的対策とセキュリティ教育のポイントについて解説します。

フィルタリングやURLブロックによる技術対策

スミッシング対策の第一歩は、不審なSMSを受信段階で遮断する技術的な対策です。日本では警察庁や日本サイバー犯罪対策センターなどの働きかけにより、主要キャリアがスミッシング対策を強化しています。

企業は社用スマホにスミッシング対策の設定を施すよう徹底するほか、モバイルセキュリティ対策ソフトやMDM（モバイルデバイス管理）を導入することで、フィッシングサイトへのアクセスや不審なアプリのインストールも制御できます。

さらに、社内ネットワークではセキュリティゲートウェイを通じてフィッシングサイトのドメインをブロックする多層防御が有効です。こうした多角的な対策を組み合わせることで、スミッシング被害のリスクを抑制します。

従業員へのセキュリティ教育

技術的対策と同様に重要なのが、従業員へのセキュリティ教育です。スミッシングは人の判断を欺くソーシャルエンジニアリング攻撃であり、最終的には利用者自身の意識が防波堤となります。

特に個人デバイスの持ち込み増加や、テレワークの普及により、私用スマホの業務利用が広がっている現代では、個人端末経由の被害も無視できません。企業は定期的な研修やシミュレーション訓練を通じて、従業員に詐欺の手口や対処法を周知することが重要です。

たとえば「アカウント異常検知」や「不在通知」を装ったSMSを疑似的に送信し、クリック率や反応を確認してフィードバックを行う訓練が有効です。また、デジタル庁やIPA、警察庁が発信する最新情報を共有することで、常に新たな手口に対応できる体制を整えましょう。

関連記事：セキュリティアウェアネスとは？必要性・教育内容・導入のポイントを解説

スミッシング被害にあったときの対応

スミッシングの被害に遭ってしまった場合には、迅速かつ的確な初動対応が被害拡大を防ぐ上で重要です。金融被害を最小限に留めるための口座・カードの緊急措置、端末がマルウェア感染した場合の対処、そして警察や関係機関への通報手順について確認しておきましょう。

企業としても被害発生時のインシデントレスポンス手順をあらかじめ定め、従業員に周知しておくことが望まれます。

被害を最小限に抑える初動対応

スミッシング被害に気づいたらすぐ行動することが重要です。金融情報を入力してしまった場合は、ただちに金融機関やカード会社へ連絡し、口座やカードの停止や再発行を依頼します。不正利用補償制度がある場合は、指示に従って被害を報告しましょう。

同じパスワードを他のサービスで使っている場合はすべて変更します。端末に不審なアプリを入れてしまった場合は、機内モードをオンにするか電源を切って通信を遮断しアプリを削除しておくことが大切です。必要に応じて信頼できるセキュリティアプリでウイルススキャンを実施しましょう。

まとめ

スミッシングはSMSを悪用した巧妙な詐欺で、企業にとっても情報漏えいや不正アクセスのリスクを高める深刻な脅威です。メールフィルターが効かない分、従来のフィッシング以上に注意が必要ですが、適切な知識と対策があれば被害を防げます。

技術面ではキャリアの迷惑SMSブロックやURLフィルタリングの活用、人的対策としては従業員教育と最新情報の共有が重要です。被害時には迅速な初動対応と関係機関への報告によって被害拡大を防げるでしょう。

警察庁やデジタル庁などの信頼できる情報を日頃からチェックし、SMSにも注意を払うことで、企業と従業員の情報資産をしっかり守りましょう。