スミッシング (スミッシング) とは | 意味や読み方など丁寧でわかりやすい用語解説

作成日: 2025年08月12日更新日: 2025年09月03日

スミッシング (スミッシング) の読み方

日本語表記

スミッシング (スミッシング)

英語表記

smishing (スミッシング)

スミッシング (スミッシング) の意味や用語解説

スミッシングとは、SMS（ショートメッセージサービス）を利用して行われるフィッシング詐欺の一種である。この名称は「SMS」と「フィッシング（Phishing）」を組み合わせた造語であり、その名の通り、携帯電話やスマートフォンのSMS機能を悪用して、受信者を偽のウェブサイトへ誘導し、個人情報や認証情報、金融情報などを不正に窃取することを目的とするサイバー攻撃である。攻撃者は、宅配業者、金融機関、公的機関、通信キャリアなど、信頼性の高い組織を装ってメッセージを送信し、受信者の警戒心を解いてクリックさせようと試みる。SMSは多くの人が日常的に利用し、電子メールと比較して開封率が高いという特性を持つため、攻撃者にとって効果的な手段となっている。スミッシングの具体的な手口は多岐にわたるが、その多くは人間の心理的な隙を突くものである。例えば、「お荷物のお届けにあがりましたが不在の為持ち帰りました。下記よりご確認ください」といった宅配業者を装うメッセージは非常に典型的である。受信者は心当たりがなくとも、荷物が届いている可能性を考えてURLをクリックしてしまうことがある。他にも、「お客様のアカウントで不正なログインが検出されました」「セキュリティ強化のため、パスワードを再設定してください」といった緊急性を煽る内容で金融機関やECサイトを装うケースや、「未払いの税金があります」「給付金の申請手続きが必要です」などと公的機関を騙るケースも存在する。これらのメッセージに共通するのは、受信者に「すぐに行動しなければならない」と思わせ、冷静な判断力を奪おうとする点である。攻撃者が受信者を誘導する先は、本物のサイトと見分けがつかないほど精巧に作られた偽のウェブサイト、すなわちフィッシングサイトである。これらのサイトでは、IDやパスワード、クレジットカード番号、氏名、住所、電話番号といった重要な情報の入力を求められる。入力された情報は即座に攻撃者の手に渡り、不正送金、なりすましによる不正利用、ダークウェブでの売買といった犯罪行為に悪用される。フィッシングサイトのURLは、正規のドメイン名に酷似した文字列が使用されることが多い。例えば、正規のドメインが「example.com」であれば、「examp1e.com」のように数字の「1」をアルファベットの「l」に見せかけたり、「example-support.com」のように関連性を思わせる単語を追加したりして、受信者を欺こうとする。スマートフォンではURL全体が表示されにくいことも、偽装が見破られにくい一因となっている。また、URLの遷移先が不正なアプリケーションのダウンロードページである場合もある。特にAndroid端末は、公式のGoogle Playストア以外からでもアプリケーション（APKファイル）をインストールできる設定が可能なため、標的とされやすい。ユーザーが偽のセキュリティ警告などに騙されてアプリをインストールすると、端末はマルウェアに感染する。感染したマルウェアは、端末内の連絡先情報や写真、認証情報などを外部に送信するだけでなく、その端末を踏み台として、連絡先に登録されている他のユーザーへスミッシングSMSを自動的に送信し、被害をさらに拡大させる機能を持つものもある。スミッシングへの対策は、ユーザー個人の意識と行動が極めて重要となる。まず、SMSで受信したメッセージに含まれるURLは、送信元に心当たりがあっても安易にクリックしないことが基本である。宅配便の通知やアカウントに関する警告など、確認が必要な場合は、SMSのリンクからアクセスするのではなく、必ず公式のアプリケーションや、普段からブックマークしている公式サイト経由でログインして状況を確認するべきである。万が一リンク先のサイトで個人情報の入力を求められた場合は、ブラウザのアドレスバーを注意深く確認し、ドメイン名が正規のものであるか、通信がHTTPSで暗号化されているかを必ず検証する必要がある。また、OSやアプリケーションは常に最新の状態に保ち、セキュリティ上の脆弱性を解消しておくこと、信頼できるセキュリティソフトを導入することも有効な対策である。提供元が不明なアプリケーションのインストールを許可しない設定にしておくことも、マルウェア感染を防ぐ上で不可欠である。システム開発者やサービス提供者の観点からは、ユーザーをスミッシングから守るための対策も求められる。ユーザーのアカウント保護のために、IDとパスワードだけでなく、SMS認証コードや認証アプリなどを組み合わせた多要素認証（MFA）を導入することは非常に効果的である。これにより、万が一認証情報が窃取されても、第三者による不正ログインを水際で防ぐことができる。また、自社のサービスを騙るスミッシングが発生していることを認知した場合は、速やかにユーザーへ注意喚起を行うとともに、フィッシングサイトの閉鎖を関連機関に要請するテイクダウンという対応も重要となる。正規のSMSを送信する際は、送信元の電話番号をウェブサイトなどで明記し、ユーザーが正規の通知であるかを確認できる手段を提供することも、ユーザーの混乱を防ぐ上で役立つ。