最終更新日:2026年5月19日
sg sg-security-measures threat_vulnerability security_training data_leakage
まず結論
スミッシングは、SMSを使って偽サイトや不正アプリへ誘導し、情報をだまし取ったり感染させたりするフィッシング詐欺です。
SG試験では、フィッシング、標的型攻撃メール、ばらまき型メールとの違いを問われることがあります。
判断のポイントは、次のとおりです。
- SMSで届く → スミッシング
- 電子メールで偽サイトへ誘導する → フィッシング
- 特定組織を狙って業務メールを装う → 標的型攻撃メール
つまり、スミッシングは「SMS版のフィッシング」と考えると理解しやすいです。
直感的な説明
スミッシングは、スマホに届く短いメッセージであわてさせる詐欺です。
たとえば、次のようなSMSが届くことがあります。
- 「荷物をお届けできませんでした」
- 「料金の未払いがあります」
- 「アカウントを停止します」
- 「本人確認が必要です」
短い文章で不安をあおり、URLをタップさせようとします。
URLを開くと、正規サービスに似せた偽サイトが表示され、ID、パスワード、クレジットカード情報などを入力させられることがあります。
また、Android端末では、不正アプリのインストールへ誘導されるケースもあります。
SG試験では、ここを次のように見ると切り分けやすいです。
| 見るポイント | スミッシング | フィッシング |
|---|---|---|
| 主な入口 | SMS | メール、Webサイトなど |
| 狙い | 偽サイト誘導、情報詐取、不正アプリ | 偽サイト誘導、情報詐取 |
| 試験でのキーワード | SMS、ショートメッセージ | 偽サイト、ID・パスワード入力 |
定義・仕組み
スミッシングは、SMS(ショートメッセージサービス)を使ったフィッシング詐欺です。
言葉としては、SMSとフィッシングを組み合わせたものです。
基本的な流れは次のようになります。
- 攻撃者が宅配業者、通信事業者、金融機関などを装ってSMSを送る
- 受信者にURLをタップさせる
- 偽サイトでID、パスワード、認証コード、クレジットカード情報などを入力させる
- 入力された情報を悪用する
- 場合によっては不正アプリをインストールさせる
IPAは、宅配便業者や通信事業者をかたる偽SMSについて、不正アプリのインストールやフィッシングの被害につながる手口として注意を呼びかけています。
参考:宅配便業者に加えて通信事業者をかたる偽ショートメッセージサービス(SMS)が増加中 - IPA
SG試験では、スミッシングの細かい手口を暗記するより、SMSを入口にして、偽サイトや不正アプリへ誘導する攻撃と押さえることが大切です。
また、スミッシングは「SMSで届くから安全」と思わせる点が危険です。
メールより短い文章なので、詳細を確認しにくく、スマホ画面ではURLの違いにも気付きにくいことがあります。
どんな場面で使う?
スミッシングは、SG試験では主に次の場面で出てきます。
- フィッシング詐欺
- SMSを使ったなりすまし
- ID・パスワードの窃取
- クレジットカード情報の詐取
- 不正アプリのインストール
- 利用者教育
- インシデント対応
受信した段階では、次の対応が基本です。
- SMS内のURLを不用意にタップしない
- メッセージ内の電話番号に連絡しない
- 公式アプリや公式サイトから確認する
- IDやパスワード、認証コードを入力しない
- 不審な場合は組織のルールに従って報告する
すでにURLを開いて情報を入力してしまった場合は、対応が変わります。
- すぐにパスワードを変更する
- 同じパスワードを使っているサービスも確認する
- クレジットカード会社や金融機関へ連絡する
- 端末に不審なアプリがないか確認する
- 組織端末なら情報システム部門へ報告する
SG試験では、受信しただけの段階と、URLを開いて入力してしまった後を分けて考えます。
選択肢では、次のような表現に注意します。
- SMS内のURLを開いて確認する
- メッセージ記載の連絡先へ電話する
- 認証コードを入力して本人確認を完了する
- 不審だが業務に関係しそうなので自分だけで対応する
こうした対応は、被害を広げる可能性があるため危険です。
よくある誤解・混同
スミッシングで一番混同しやすいのは、フィッシングです。
スミッシングはフィッシングの一種なので、かなり近い用語です。
ただし、SG試験では入口がSMSかどうかで切り分けると安全です。
| 用語 | 判断基準 |
|---|---|
| スミッシング | SMSで偽サイトや不正アプリへ誘導する |
| フィッシング | 偽サイトへ誘導してIDやパスワードを入力させる |
| 標的型攻撃メール | 特定組織を狙い、業務メールを装う |
| ばらまき型メール | 不特定多数へ同じようなメールを大量送信する |
| 不審な添付ファイル | 添付ファイルを開かせて感染させる |
特に注意したいひっかけは、次の考え方です。
SMSは電話番号宛てに届くから、メールより信用できるのでは?
これは危険です。
SMSでも送信者名や本文を偽装して、正規サービスのように見せかけることがあります。
また、次のような理解も危険です。
- URLが短いから安全
- 公式サービス名が書かれているから安全
- 急ぎの内容なので先に対応する
- SMSに書かれた電話番号なら正しい
SG試験では、メッセージ内のURLや連絡先をそのまま信用しないことが重要です。
確認する場合は、SMS内のリンクからではなく、公式アプリや自分で検索した公式サイトから行うのが安全です。
まとめ(試験直前用)
スミッシングは、SMSを使って偽サイトや不正アプリへ誘導するフィッシング詐欺です。
SG試験では、次の3点で判断します。
- SMS・ショートメッセージが入口 → スミッシング
- 偽サイトでIDやパスワードを入力させる → フィッシング
- SMS内のURLや電話番号をそのまま信用しない
迷ったら、入口がSMSか、何を入力させたいか、正規サイトで確認しているかで切り分けましょう。