「ヤマト運輸を装ったSMSが届いた」「Amazonからの配送通知だと思ったらフィッシングサイトだった」——いわゆる「スミッシング(SMSフィッシング)」の被害が2024年以降、急増しています。被害者の損害だけでなく、本物の企業にとっても深刻な問題は、自社のブランド名が攻撃者に勝手に使われ、顧客から「あの会社のSMSは怪しい」と疑われてしまうことです。本記事では、企業の送信側として「うちは本物です」を顧客に届けるための対策を5つに整理します。
スミッシングはなぜここまで増えたのか
警察庁の統計によると、フィッシング被害の通報件数は2020年以降毎年倍増しており、SMSを起点とした「スミッシング」は2024年に過去最多を記録しました。攻撃者がメールではなくSMSを選ぶ理由は明確で、「開封率が高く」「短文のため怪しさを判別しにくく」「URLが必須でクリックを誘導しやすい」からです。
結果として、宅配会社・通信キャリア・金融機関・ECサイトといった「顧客に正規のSMSを送る企業」が真っ先に成りすましのターゲットになり、本物のSMSまで疑われてクリック率が下がる二次被害が広がっています。
対策① 「送信者名(Sender ID)」を必ず設定する
SMSは標準では送信元が「電話番号」で表示されます。攻撃者は使い捨ての番号や海外番号からSMSを送るため、顧客側で「番号だけ見て真偽を判断する」のは現実的に不可能です。
これに対して、企業向けSMS配信サービスでは「送信者名(Sender ID)」をブランド名で設定できます。例えば「YAMATO」「AMAZON」「○○BANK」など、英数字の文字列で送信元を表示する機能です。顧客の受信画面では番号ではなく社名が表示されるため、攻撃者の偽SMSと一目で見分けがつきます。
選定時のチェックポイント: サービスがSender ID設定に対応しているか、対応するキャリア(NTTドコモ・au・ソフトバンク・楽天モバイル)の範囲を確認しましょう。一部のキャリアでは送信者名表示に制約があるため、4社すべてに対応する配信サービスを選ぶことが重要です。
対策② 顧客側に「本物のSMSの見分け方」を周知する
どれだけ送信側で対策しても、顧客側が「どれが本物か」を判別できなければ被害は止まりません。事前に顧客とコミュニケーションする機会(マイページのお知らせ、定期メルマガ、契約時の説明資料など)で、以下の3点を明示しておきましょう。
- 送信者名は「○○○○」で表示されます(具体的な文字列を明記)
- SMSから送るURLは必ず「自社の正規ドメイン」のみ(例: yourcompany.co.jp)
- 暗証番号・パスワード・クレジットカード番号を聞くSMSは絶対に送りません
この3点を顧客が知っているだけで、攻撃者のSMSを「これは怪しい」と判別できるようになります。コールセンターのスクリプトにも組み込み、問い合わせ時に毎回伝える運用も効果的です。
対策③ URLは「自社ドメイン」のみを使う(短縮URLは原則NG)
スミッシング対策で最も重要かつ見落とされがちなのが、「URLポリシー」です。bit.ly・tinyurl などの短縮URLサービスや、配信ベンダー提供の汎用ドメイン(例: smsl.jp など)を使っていると、顧客側で「正規かどうか」の判別が不可能になります。
理想は「自社ドメインのサブドメイン」(例: sms.yourcompany.co.jp)を専用に取得し、そこからのリダイレクトで運用すること。これにより顧客は「SMSのURLにyourcompany.co.jp が入っていれば本物」と一発で判別できます。
短縮URLを使う場合でも、「短縮ドメイン自体を自社ブランドの専用ドメインで取得」する選択肢があります(独自短縮URL)。配信ベンダーがこの機能に対応しているか、選定時に必ず確認しましょう。
対策④ なりすまし発生時の「公式声明」テンプレートを準備しておく
自社が成りすましの被害に遭った場合、初動の速度が信頼回復の決め手になります。発生から数時間以内に公式サイト・SNS・SMS自身で告知できる体制を平常時から準備しておきましょう。
テンプレートに含めるべき情報:
- 当社を装ったSMS被害が発生していること
- 偽SMSの特徴(送信元番号・含まれるURL・本文の典型例)
- 本物のSMSの見分け方(Sender ID、自社ドメインURL)
- 受信者が取るべき対応(URLを開かない、ID/パスワードを入力しない、最寄り警察署に相談)
- 問い合わせ窓口の番号
このテンプレートを広報・法務・カスタマーサポートと事前に共有しておくと、いざという時に承認プロセスで時間を浪費せず、即座に顧客へ届けられます。
対策⑤ 配信ベンダーの「不正利用対策」体制を確認する
SMS配信ベンダーの中には、攻撃者が他社の名前で大量配信するスミッシングに加担してしまっているケースもあります。ベンダー側の本人確認・送信者名審査・コンテンツ審査がザルだと、自社のブランド名で攻撃者がSMSを送れてしまいます。
ベンダー選定時に確認すべきポイント:
- 送信者名(Sender ID)登録時の本人確認プロセス
- 商標権・ブランド名の重複登録チェックの有無
- 不正配信を検知する仕組み(配信パターン異常検知、URL評価)
- 不正利用報告を受けた際の対応速度(SLA)
大手の正規ベンダーであれば本人確認は厳格ですが、価格だけで選んだ無審査の海外ベンダーが攻撃者の温床になっているのが現実です。「うちのブランドを誰でも登録できるサービス」は使うべきではありません。
まとめ: 「攻撃者に悪用されない」が「攻撃者と区別される」より重要
スミッシング対策は受信者教育だけでは限界があり、送信側企業が積極的に「うちは本物だ」というシグナルを設計する必要があります。本記事で挙げた5つの対策は、いずれも導入時のひと手間で大きな差が出るものばかりです。
特に重要なのは①Sender ID と ③URLポリシー の組み合わせ。この2つだけでも徹底すれば、顧客側で「これは本物」と即座に判別できる土台ができます。SMS配信を始める前、あるいは既に導入済みでも、ぜひ自社の運用を見直してみてください。