【2025年最新版】SMS迷惑メール対策と「なりすまし」手口を徹底解説！安全なSMS認証の見分け方

近年、スマートフォンに届くSMS（ショートメール）を悪用した「迷惑メール」や、実在する企業を装った「なりすましSMS」の被害が急増しています。特に、本人確認として利用される「SMS認証」の仕組みを逆手に取ったフィッシング詐欺は、個人だけでなく企業にとっても深刻な課題です。

警視庁の発表によると、フィッシング詐欺やなりすましSMSによる被害は年々増加傾向にあり、2024年にはフィッシング報告件数が過去最高を記録しました。企業名を騙った偽のSMSによって、顧客の個人情報が流出するケースも後を絶ちません。

本記事では、最新の迷惑メールの手口や個人でできる対策（拒否設定など）を解説するとともに、企業が顧客を守るために導入すべき「なりすまし対策」について、RCS（次世代メッセージング規格）や共通番号の活用を含めた具体的な解決策を紹介します。

なぜ今、SMS（ショートメール）の迷惑メールが増えているのか

メールマガジンなどのEメールと比較して、SMSは携帯電話番号だけで送受信できるため、到達率98%以上という高い到達性を誇ります。その反面、この「届きやすさ」と「開封率の高さ」が悪用され、迷惑メールや詐欺の温床となっている現状があります。

迷惑メール急増の背景にある「SMS認証」の普及

Webサービスやアプリのログイン時に、ID・パスワードに加えてSMSで認証コードを送る「SMS認証（二段階認証）」が一般的になりました。これにより、ユーザーは「SMSには重要な通知が届く」という認識を持つようになり、攻撃者はその心理を突いて偽のSMSを送りつけるようになっています。

迷惑メールと「なりすましSMS」の深刻な違い

単なる広告宣伝目的の「迷惑メール」とは異なり、「なりすましSMS」は実在する企業（宅配業者、金融機関、携帯キャリアなど）を騙って送信されます。送信元を偽装したり、本物そっくりの偽サイト（フィッシングサイト）へ誘導したりすることで、ID・パスワードやクレジットカード情報を盗み出そうとします。

本記事を読むことで得られること

• 企業が自社の信頼を守るために導入すべき「共通番号」や「RCS」の活用法
• 最新の「なりすましSMS」の手口と見分け方
• 各キャリア別の具体的な迷惑メール拒否設定の方法

SMS迷惑メール・なりすましSMSが送られてくる「原因」と「手口」

SMS迷惑メールはなぜ届くのでしょうか。まず、その原因と攻撃者の手口を理解することが対策の第一歩です。

迷惑メールが届く3つの原因

連絡先の漏洩

悪質な事業者やアプリへの登録により、電話番号が流出している可能性があります。一度流出した電話番号は、迷惑メール業者間で売買され、複数の業者から迷惑メールが届く原因となります。

無作為な番号への送信

携帯電話番号は「090」「080」「070」から始まる11桁の数字です。攻撃者はこの法則を利用して、ランダムに生成した番号に対して大量のSMSを送信します。この場合、電話番号の漏洩とは関係なく迷惑メールが届くことになります。

悪質なサービスへの登録

出会い系サイトや懸賞サイト、無料ゲームアプリなど、一見無害に見えるサービスに登録した際、利用規約に「第三者への情報提供」が含まれていることがあります。この場合、合法的に電話番号が共有され、迷惑メールの標的となります。

SMSを悪用する攻撃パターンと具体的な手口（フィッシング・詐欺）

攻撃者の手口は年々巧妙化しています。ここでは代表的なパターンを解説します。

宅配業者を装う詐欺SMS（偽サイトへの誘導）

「お荷物のお届けにあがりましたが不在の為持ち帰りました」といった文面とともに、URLをクリックさせようとする手口です。リンク先で偽のアプリをインストールさせられたり、個人情報を入力させられたりする被害が発生しています。

特に注意すべきは、実在する宅配業者の名前を騙るケースです。「ヤマト運輸」「佐川急便」「日本郵便」などを装ったSMSは、多くの人が荷物の到着を待っている状況を狙って送信されます。

金融機関や公的機関を騙る偽SMS（アカウント情報の窃取）

「【重要】口座の利用を一時停止しました」「未払いの税金があります」など、緊急性を煽る内容で不安にさせ、偽のログイン画面に誘導してパスワード等を盗み出します。

銀行、クレジットカード会社、さらには国税庁や年金事務所などの公的機関を装うケースも増えています。正規の機関がSMSでパスワードや暗証番号の入力を求めることはありません。

架空請求SMS

「有料サイトの利用料金が未払いです」「法的措置を取ります」など、身に覚えのない請求でパニックを起こさせ、金銭を振り込ませようとする手口です。電話番号が記載されており、電話をかけると巧みな話術で支払いに誘導されます。

懸賞当選詐欺

「おめでとうございます！100万円当選しました」「iPhoneが当たりました」など、当選を騙って個人情報を入力させたり、「手数料」として金銭を要求したりする手口です。

AI悪用型詐欺

近年では、AI技術を悪用した新たな手口も登場しています。AIで生成した自然な日本語の文章や、実在する人物の声を模倣した音声を使用するケースが報告されています。従来の「不自然な日本語」という見分け方が通用しなくなりつつあります。

企業名やサービス名を悪用した「なりすましSMS」

SMSは送信元として電話番号が表示されますが、海外の配信ルートなどを経由することで、送信元表示を偽装したり、ランダムな番号から送信したりすることが可能です。これにより、受信者は一見して正規のメッセージかどうかが判断しにくくなります。

SMS認証の「悪用」とは？ – 攻撃者があなたの電話番号を狙う理由

攻撃者が他人のWebサービスアカウントに不正ログインしようとする際、そのサービスがSMS認証を採用していると、正規のユーザー（被害者）のスマホに認証コードが届きます。攻撃者はその直後に「間違って認証コードを送ってしまったので教えてほしい」などと騙るSMSを送り、コードを聞き出そうとするケースもあります。

また、「SMSインターセプト」と呼ばれる手法では、SIMスワップ詐欺（携帯キャリアを騙してSIMを再発行させる）によってSMS自体を傍受される被害も報告されています。

【最重要】個人でできる！迷惑メール・なりすましSMSの具体的な対策

被害に遭わないためには、受信者自身が警戒心を持つことと、適切な設定を行うことが重要です。

受け取ったSMSに「絶対にしてはいけない」行為（3つのNG行動）

URLを絶対にクリックしない

心当たりのないSMSに記載されたURLは絶対にクリックしないでください。クリックするだけで、使用している電話番号が「生きている（反応がある）」と判断され、さらなる迷惑メールの標的になる可能性があります。

また、フィッシングサイトに誘導された場合、見た目は本物そっくりでも、個人情報を入力した瞬間に情報が盗まれます。

返信したり電話をかけたりしない

「配信停止はこちら」と書かれていても、安易に返信してはいけません。相手に反応することで、「この番号は有効で、反応がある」とカモリストに登録される恐れがあります。

記載された電話番号にかけることも避けましょう。高額な通話料が発生する番号に転送されたり、電話口で巧みに個人情報を聞き出されたりする可能性があります。

認証コードや個人情報を入力しない

URLを開いてしまっても、絶対に個人情報やパスワード、認証コードを入力しないでください。正規の企業がSMSでパスワードの入力を求めることは通常ありません。

特に、SMS認証コードは「本人確認のための一時的なパスワード」です。第三者に教えると、アカウントを乗っ取られる危険があります。

安全なSMSと危険なSMSを見分けるためのチェックリスト

以下のポイントを確認することで、危険なSMSを見分けることができます。

送信元の番号を確認

• 知らない番号、特に「+85」「+86」など海外の国番号から始まっていないか
• 正規の企業から届くSMSの送信元番号は、各社の公式サイトで確認できる
• キャリア4社共同の番号確認サイト「japansms.com」で正規の送信元番号かどうかを確認

日本語の不自然さをチェック

• 漢字のフォントが違ったり（中国語フォントの使用など）、言い回しが不自然だったりしないか
• ただし、AI技術の進歩により自然な日本語の詐欺SMSも増加している点に注意

URLのドメインを確認

• 企業の公式サイトと異なるドメインではないか
• 短縮URLが使われていないか（正規の企業は短縮URLを使わないことが多い）
• 「.jp」以外の見慣れないドメイン（.xyz、.top など）が使われていないか

内容の緊急性を疑う

• 「今すぐ」「24時間以内に」など、極端に急がせる内容ではないか
• 「アカウントが停止されます」「法的措置を取ります」など、脅迫めいた表現ではないか

被害に遭った場合の対処法

万が一、フィッシングサイトで個人情報を入力してしまった場合は、以下の対処を行ってください。

1. パスワードの即時変更: 入力したサービスと同じパスワードを使っている全てのサービスでパスワードを変更
2. クレジットカード会社への連絡: カード情報を入力した場合は、すぐにカード会社に連絡して利用停止
3. 警察への相談: 被害に遭った場合は、警察相談ダイヤル「#9110」に連絡
4. フィッシング対策協議会への報告: 被害の拡大防止のため、フィッシング詐欺の報告窓口に情報提供

参考：警視庁 フィッシング110番
参考：政府広報オンライン

各キャリア（docomo/au/SoftBank/楽天）での「SMS拒否設定」の手順

各携帯キャリアは、迷惑SMSをブロックする機能を提供しています。

NTTドコモをご利用の方

「SMS拒否設定」機能で、国際SMS拒否、非通知SMS拒否、特定番号拒否などの設定が可能です。

設定方法：My docomo → サービス一覧 → あんしん・セキュリティ → 迷惑メール対策

詳細：SMS拒否設定（NTTドコモ公式サイト）

auをご利用の方

「迷惑SMS（Cメール）防止方法」で、国際SMSの拒否設定や、指定番号からのブロックが可能です。

設定方法：My au → サポート → 迷惑メール対策

詳細：迷惑SMS（Cメール）防止方法（au公式サイト）

SoftBankをご利用の方

「迷惑メールの対策」機能で、SMS拒否設定やなりすましメールの拒否設定が可能です。

設定方法：My SoftBank → セキュリティ管理 → 迷惑メール対策

詳細：迷惑メールの対策（ソフトバンク公式サイト）

楽天モバイルをご利用の方

「迷惑SMS拒否設定」で、特定の番号からのSMSをブロックできます。

設定方法：my 楽天モバイル → 契約プラン → オプションサービス

詳細：迷惑SMS拒否設定（楽天モバイル公式サイト）

スマートフォン端末での個別ブロック方法

iPhoneの場合

1. メッセージアプリで該当のSMSを開く
2. 画面上部の電話番号または連絡先名をタップ
3. 「情報」ボタンをタップ
4. 「この発信者を着信拒否」を選択

Androidの場合

1. メッセージアプリで該当のSMSを長押し
2. 「ブロック」または「スパムとして報告」を選択
3. 確認画面で「ブロック」をタップ

企業アカウントの信頼性を守る「ビジネスSMS」の対策

企業が顧客にSMSを送る際、迷惑メールと間違われないようにするためには、「なりすまし対策」が必須です。KDDI Message Castなどの信頼できる配信サービスを利用することで、顧客に安心感を届けることができます。

なりすまし被害から自社ブランドを守る「番号のブランド化」

企業のメッセージと判別させる「共通番号（0005番号）」の利用

従来、SMSの送信元番号はキャリアごとに異なり、受信者にとっては「知らない番号」として表示されていました。しかし、現在は携帯4社（docomo、au、SoftBank、楽天モバイル）で共通の「キャリア共通番号（0005から始まる番号）」を利用できます。

KDDI Message Castでは、この共通番号に対応しており、審査を通過した企業のみが利用できるため、受信者は「正規の企業からのメッセージである」と容易に識別できます。これにより、なりすましSMSとの判別が可能となり、開封率の向上にもつながります。

また、キャリア4社共同で運営する「japansms.com」では、正規の企業が使用している送信元番号を確認できるため、受信者が自分で番号を検証することも可能です。

共通番号の詳細は「キャリア共通番号」をご確認ください。

送信元名の表示（+メッセージなどのキャリア固有の機能）

SMSの進化版である「+メッセージ（プラスメッセージ）」を利用すれば、送信元に電話番号ではなく「企業名」と「認証バッジ（公式アカウント）」を表示させることができます。

KDDI Message Castは+メッセージの配信にも対応しており、画像や長文テキストを用いたリッチな表現とともに、圧倒的な信頼性を提供します。

+メッセージの詳細は「+メッセージ配信」をご確認ください。

RCS（次世代メッセージング規格）によるなりすまし対策の強化

RCSとは何か

RCS（Rich Communication Services）は、SMSの次世代規格として世界的に普及が進んでいるメッセージング規格です。従来のSMSでは実現できなかった、以下の機能を提供します。

• 企業ロゴ・認証済みマーク表示: 送信元が正規の企業であることを視覚的に証明
• リッチコンテンツ配信: 画像、動画、ボタン、カルーセル表示に対応
• フォールバック機能: RCS非対応端末には自動的にSMSとして配信

KDDI Message Castは2025年5月より業界初のRCS配信に対応しています。

RCS導入による効果

RCSを導入した企業では、SMSと比較してクリック率が1.5～2倍向上するという実績があります。企業ロゴと認証マークが表示されることで、受信者は「なりすましではない正規のメッセージ」と安心して開封・クリックできるためです。

また、画像やボタンを活用したリッチなコンテンツにより、顧客エンゲージメントが大幅に向上します。

RCS配信の詳細は「RCS配信サービス」をご確認ください。

顧客に安心感を与える「安全なSMS認証」の導入ポイント

なぜ通常のSMS送信サービスでは「なりすまし」が防げないのか

安価な海外製SMS配信サービスの中には、送信ルートが不明確で、到達率が低いだけでなく、スパム判定を受けやすいものがあります。

国内直収接続（キャリアと直接接続）を行っているサービスを選ぶことが、セキュリティと到達率（98%以上）を担保する上で重要です。KDDI Message Castは、国内4キャリアとの直収接続により、安定した配信品質とセキュリティを実現しています。

視覚的に信頼性を高める工夫

KDDI Message Castのような信頼性の高いサービスを導入し、以下の対策を組み合わせることで、顧客は安心してSMS認証を利用できます。

1. 送信元番号の事前告知: 公式サイトやアプリ内で「SMSの送信元番号は0005-XXXXXです」と明記
2. 共通番号の利用: 審査済みの0005番号を使用し、japansms.comで検証可能に
3. RCS/+メッセージの活用: 企業ロゴと認証マークで視覚的に正規のメッセージであることを証明
4. 顧客への啓発: 「当社からSMSでパスワードを聞くことはありません」などの注意喚起

KDDI Message Castの導入事例：セキュリティと信頼性の向上

実際に、セキュリティと利便性を両立させるためにKDDI Message Castを導入した企業の事例を紹介します。

株式会社デジロウ様：本人確認の手段としてSMS認証を導入

システム開発を行う株式会社デジロウ様では、アンケートシステムの複数回答を防ぐための個人認証システムとして、KDDI Message CastのSMS送信機能を導入しました。

導入の決め手は、既存システムとのAPI連携のしやすさと到達率の高さです。本人確認という重要なプロセスにおいて、確実にメッセージが届く信頼性が評価されました。システム実装も1時間で完了し、スムーズな導入が実現しました。

詳しい導入事例は「株式会社デジロウ様の導入事例」をご覧ください。

自治体・官公庁での活用：重要なお知らせの確実な伝達

大阪府などの自治体では、税金や保険料の督促、緊急連絡などにSMSを活用しています。郵送や電話に比べてコストを削減しつつ、確実に本人に通知を届ける手段として、信頼性の高い国内直収のSMS配信サービスが選ばれています。

名古屋市では、KDDI Message Castの導入により1日あたり350時間の業務削減を実現しています。

その他の導入事例は「導入事例一覧」からご覧いただけます。

まとめ：最新情報を確認し、常に警戒を怠らないことが重要

SMSの迷惑メールやなりすまし詐欺は、手口が日々変化しています。AI技術の悪用など、新たな脅威も登場しており、従来の対策だけでは不十分になりつつあります。

個人としての対策:

• 怪しいURLはクリックしない
• 身に覚えのないSMSには返信・電話をしない
• 各キャリアの拒否設定を活用する
• 被害に遭った場合は警察相談ダイヤル「#9110」に連絡

企業としての対策:

• 信頼性の高い国内直収接続のSMS配信サービスを利用
• キャリア共通番号（0005番号）を取得して正規の送信元であることを証明
• RCS/+メッセージを活用して企業ロゴ・認証マークを表示
• 顧客への継続的な啓発活動を実施

KDDI Message Castは、KDDIグループの通信インフラを背景に、到達率98%以上、初期費用・月額費用0円、24時間365日の監視体制で、安心・安全なメッセージ配信をサポートします。

「自社のSMSが迷惑メール判定されないか心配」「SMS認証を安全に実装したい」「なりすまし対策を強化したい」とお考えの企業担当者様は、ぜひ資料をダウンロードして詳細をご確認ください。最大2ヶ月、3,000通まで無料でお試しいただけます。
無料トライアル・お問い合わせは「こちら」から