スミッシングは、SMSを悪用して偽サイトや不正アプリへ誘導するフィッシング詐欺の一種です。宅配業者や携帯電話会社、銀行などを装ったSMSが届き、記載されたURLから偽画面へ誘導されるケースが多く見られます。

個人向けの詐欺に見えますが、企業にとっても無関係ではありません。業務用スマートフォンに届いたSMSをきっかけに、社内アカウントやクラウドサービスの認証情報が盗まれる可能性があります。また、不正アプリを入れてしまうと、端末内の情報や連絡先が悪用されるおそれもあります。

本記事では、スミッシングの基本的な仕組みと、企業として押さえるべき対策を解説します。あわせて、従業員が「気づく・止まる・報告する」行動を徹底するための教育や運用の考え方も整理します。

スミッシングは、SMSを入り口として認証情報や決済情報を盗み取る攻撃です。スマートフォン上で完結するため、従業員が業務中に誤って操作してしまう可能性があります。

スミッシングでは、攻撃者がSMSを使って偽サイトや不正アプリへ誘導します。文面では、宅配業者や携帯電話会社、銀行、通販サイトなどを装うケースが多く、「荷物の不在通知」「料金未払い」「アカウント停止」「不正利用の確認」といった内容で受信者を急がせます。

リンク先では、本物に似せたログイン画面や入力フォームが表示されます。そこでID・パスワード・クレジットカード情報・認証コードなどを入力すると、攻撃者に情報が渡ります。入力情報は、不正ログインや金銭被害に悪用される可能性があります。

警察庁のウェブサイトでも、SMSを悪用してクレジットカード会社・宅配業者・銀行をかたり、本物そっくりの偽サイトへ誘導する事例が多数紹介されています。

出典：警察庁ウェブサイト『フィッシング対策』

スミッシングは、個人のスマートフォンだけでなく、業務用スマートフォンにも届く可能性があります。従業員がSMS内のリンクから偽サイトへアクセスし、社内アカウントやクラウドサービスの認証情報を入力することで、業務データや取引先情報が不正に閲覧されるリスクがあります。

また、不正アプリをインストールした場合、端末内の情報や電話帳が外部へ送信される可能性があります。企業では、端末そのものだけでなく、登録されている取引先連絡先や業務アカウントの悪用にも注意が必要です。

スミッシングを防ぐには、SMSを受け取った時点で立ち止まり、リンクや入力画面をすぐに信用しないことが重要です。特に業務用スマートフォンでは、個人利用時以上に慎重な確認が求められます。

宅配業者からの不在通知・料金未払い・アカウント停止・不正利用の確認などの文面は、スミッシングでよく使われます。受信者を急がせる内容ほど、SMS内のURLをそのまま開かないことが重要です。

確認が必要な場合は、SMS内のリンクではなく、公式サイトや公式アプリからアクセスし直します。短縮URLや不自然なドメイン、文字列が長すぎるURLなども注意が必要です。業務用端末では、迷った時点で社内の確認先へ相談する運用を徹底します。

スミッシングでは、偽サイト上でID・パスワード・クレジットカード情報・暗証番号・ワンタイムパスワード・認証コードなどの入力を求められることがあります。これらの情報をSMS経由で開いた画面に入力しないことが基本です。

特に、認証コードの入力を求める画面には注意が必要です。攻撃者がリアルタイムで不正ログインを試みている可能性があります。判断に迷う場合は、公式窓口や社内担当者へ確認し、自己判断で入力しないようにします。

スミッシングでは、「荷物追跡アプリ」「セキュリティ確認アプリ」「本人確認アプリ」などを装い、不正アプリをインストールさせる手口もあります。特にAndroid端末では、提供元不明アプリのインストール許可を求められた場合、細心の注意が必要です。

業務用スマートフォンでは、アプリ導入ルールを明確にし、許可されたストアや管理された配布経路以外からインストールしない運用を徹底します。不審なアプリを入れてしまった場合は、削除だけで済ませず、速やかに情報システム部門などへ報告することが重要です。

スミッシングに引っかかった可能性がある場合は、操作を続けず、被害を広げないための初動対応を優先します。

入力した情報やインストールしたアプリによって対応が変わるため、早めに社内の窓口へ共有することが重要です。

SMS内のリンクを開いた後に異変に気づいた場合は、それ以上の入力や操作を続けないようにします。不審なアプリのインストールを求められた場合も、途中で気づいた時点で操作を止めます。

そのうえで、情報システム部門やSOC（※）など、社内で決められた窓口へ報告します。報告時には、「開いたURL」「入力した情報」「インストールしたアプリ」「発生時刻」を共有すると、影響範囲を確認しやすくなります。確信がなくても、早く相談することが重要です。

※・・・SOC（Security Operations Center）とは、企業へのサイバー攻撃の検知や分析、対応を24時間365日体制で行う専門組織のこと。

ID・パスワードを入力した可能性がある場合は、該当アカウントのパスワードを速やかに変更します。同じパスワードを他のサービスでも使っている場合は、そちらも変更が必要です。使い回しをしていると、別のサービスへの不正ログインにつながる可能性があります。

あわせて、ログイン履歴や認証履歴を確認し、不審なアクセスがないかを確認します。必要に応じて、多要素認証の再設定やログイン中セッションの無効化も行います。認証情報を入力した場合は、アカウント保護を早めに進めることが重要です。

不審なアプリをインストールした場合は、端末内に不審なアプリやプロファイルが残っていないかを確認します。端末内の連絡先・SMS・業務データにアクセスされた可能性がないかも確認が必要です。

また、SMSの大量送信や不審な通信が発生していないかも確認します。業務用スマートフォンの場合は、必要に応じて端末をネットワークから切り離し、MDMによる遠隔ロック・初期化・アプリ削除などを実施します。端末側の影響を確認することで、被害拡大を抑えやすくなります。

スミッシングでは、端末内の連絡先へ不審SMSが送信される可能性があります。取引先や社内関係者へ同様のSMSが届いていないかを確認し、必要に応じて注意喚起を行います。

金銭被害が疑われる場合は、金融機関や関係窓口へ速やかに連絡します。情報漏えいが疑われる場合は、社内ルールに沿って報告し、調査や通知などの対応を進めます。早期の共有と封じ込めが、被害拡大を防ぐ鍵になります。

スミッシング対策は、従業員個人の注意だけに任せるのではなく、端末管理・報告フロー・教育を組み合わせて組織的に進めることが重要です。

業務用スマートフォンを利用している場合は、MDMで端末を管理し、不審アプリのインストール制限や遠隔ロック、初期化に対応できる状態を整えます。あわせて、OSやアプリを最新化し、脆弱性を放置しないことも基本です。

また、携帯電話会社が提供する迷惑SMSブロック機能の活用も有効です。警察庁も、迷惑メッセージブロック機能の活用や、OS・アプリのアップデートを対策として挙げています。さらに、認証情報の使い回しを禁止し、万が一入力してしまった場合でも被害が広がりにくい環境を作ることが重要です。

スミッシングでは、「SMSを開いた」「情報を入力した」「不審なアプリを入れた」といった段階で、すぐに報告できる運用が必要です。報告先を一本化し、どのような場合に連絡するのかを明確にしておくと、初動対応につなげやすくなります。

あわせて、「確信がなくても報告してよい」と周知することも重要です。誤操作を責める運用では、報告が遅れやすくなります。開いたURL、入力した情報、インストールしたアプリ、発生時刻などを整理できる報告テンプレートを用意しておくと、影響範囲の確認も進めやすくなります。

座学だけでは、スマートフォン上でSMSを受け取ったときの判断は身につきにくい場合があります。画面が小さいためURL全体を確認しにくく、急ぎの通知に見えると、内容を十分に確認しないまま操作してしまうこともあります。
体験型学習であれば、SMSから偽画面へ誘導される流れや、誤操作後の報告までを実務に近い形で学べます。

『セキュアプラクティス®』では、スミッシング・フィッシング・標的型攻撃メール・ランサムウェアなどのシナリオを通じて、人的対策を強化しやすくなります。管理者側で履修状況を確認できるため、教育運用にも活用しやすいサービスです。

スミッシングは、SMSを使って偽サイトや不正アプリへ誘導するフィッシング詐欺です。宅配業者・携帯電話会社・銀行・通販サイトなどを装うケースが多く、業務用スマートフォンに届いたSMSが被害のきっかけとなる可能性もあります。

引っかからないためには、SMS内のリンクをそのまま開かず、公式サイトや公式アプリから確認し直すことが重要です。一方で、誤ってリンクを開いたり、情報を入力したりした場合は、操作を止め、速やかに報告し、アカウントや端末への影響を確認する必要があります。

組織としては、業務用スマートフォンの管理・報告フロー・従業員教育を整えることが欠かせません。『セキュアプラクティス®』のような体験型学習を取り入れることで、「気づく・止まる・報告する」行動を定着させやすくなります。