電話をかけた瞬間に罠が始まる：「SMS＋自動音声」フィッシングの正体と、今すぐ変えるべき電話の作法

電話に出た瞬間、詐欺が始まります。いま日本で急速に広がるのは、SMSと自動音声通話を組み合わせ、受け手の心理とスマートフォンの仕様を同時に突く新手のフィッシング詐欺です。発端は一通の短いメッセージ。そこには公式を装った問い合わせ窓口の電話番号だけが記され、怪しいURLは見当たりません。受信者が安心して番号にかけると、機械の声が重大な連絡を装って数字の選択を促し、押下と同時に今度はSMSで偽サイトのURLが飛びます。この一連の流れにより、従来のURLフィルタや迷惑SMS対策の網を巧妙にすり抜け、しかも通話中に冷静な判断を奪います。 報道では、二〇二五年九月一六日付の調査記事（Web担当者Forum）がこの手口を詳報し、発端となった調査リリース（トビラシステムズ 2025年7月レポート）も同様の流れを確認しています。加えて、自治体や金融機関が注意喚起を相次いで発し、地方企業の巨額被害のニュースが続いています。もはや偶発的な一過性ではありません。電話の作法を今日から更新する必要があります。

なぜ今「SMS＋架電」なのか：対策の網をすり抜ける三つの要因

［従来］SMS→URL誘導→偽サイト
            ↓ フィルタで検知されやすい
［新手］SMS（番号のみ）→通話→自動音声→SMS→偽サイト
            ↑ URLなしで通話起点、フィルタ回避・心理圧力増

犯行グループが今、SMSと架電の合わせ技に舵を切った背景には三つの現実があります。第一に、メッセージ本文に不正リンクを含めないことで、迷惑SMSの機械判定を回避できること。第二に、通話という同期コミュニケーションが被害者の注意資源を独占し、相談や検索による自己防衛行動を阻害すること。第三に、音声ガイダンスとプッシュ操作を使うことで、同じ脚本を無限に再生でき、犯行オペレーションを自動化できることです。 心理的にも、機械音声は感情の起伏が少ないため、かえって公式通知のような権威性を帯びます。そこへ金融機関や通信事業者、官公庁の名を重ねることで、受け手は自分の状況確認を先回りしてくれる善意のシステムだと錯覚します。この錯覚が、数字ボタンを一度押すという小さな行為を正当化し、結果として重大な情報入力に導かれていきます。 犯行側のコスト構造にも現実味があります。SMSの一斉配信は低コストで、電話の自動応答は一度仕組みを作れば大量の着信を平等に処理できます。通話からSMS、SMSからウェブへとレイヤーを跨がせることで、個別の対策の弱点を突きやすくなります。

手口の全体像：五つのステップで進む「劇場型」誘導

[1] 金融機関名入りSMS（番号のみ記載）
[2] 受信者が自ら架電
[3] 自動音声：「重要なお知らせ→詳細SMSは1を押してください」
[4] 押下直後にSMSでURL到着
[5] 偽サイト（iOS: 入力詐取／Android: 入力＋不正アプリ誘導）

流れは明快かつ再現性があります。まず金融機関名を含むSMSが届き、文末の問い合わせ番号にかけるよう誘導されます。発信すると自動音声が重要なお知らせを告げ、詳細をSMSで受け取るための選択肢として数字の押下を求めます。押下直後、偽サイトのURLを含むSMSが着信し、受信者は正規の本人確認手続きだと信じてページへ進みます（トビラシステムズ 7月レポート）。 ここでiOSではログイン情報や本人情報の入力を求められ、Androidでは不正アプリのインストールへ誘導される場合があります。後者は端末の権限を奪取し、連絡先へ詐欺SMSを自動送信する踏み台として悪用されるおそれがあります。犯行の脚本は均質で、担当者の技能に依存せず規模化しやすい構造です。 この仕組みは、犯罪者が被害者に能動的な操作をさせる点に要諦があります。受け手自身が電話をかけ、数字を押し、SMSを開き、URLを踏んだという感覚が、途中での異常検知を鈍らせます。通話中は画面遷移や通知に注意が向きにくく、セキュリティアプリの警告やブラウザの注意表示を見落としやすくなります。

被害の実相：法人は決算期、個人は「通話停止」の一撃

［法人ケース］
通話 → メールアドレス聴取 → 偽サイトURL送付 → ネットバンキング情報詐取 → 不正送金
［個人ケース］
自動音声「2時間後に停止」→ オペレーター接続 → 電子マネー/認証コード要求

実被害は既に法人と個人の双方で深刻化しています。三月には地方鉄道会社が自動音声経由の誘導を発端として、企業向けネットバンキングの認証情報を詐取され、約一億円規模の不正送金被害が確認されました（tbc NEWS、朝日新聞デジタル）。要因は、偽のサポート窓口から正規らしい案内を重ねてメールアドレスを聞き出し、偽サイトのURLを送付するという段取りの巧妙さにあります。 同時期、信用金庫職員を名乗る電話から始まる同型の被害も各地で報告され、五千万円規模の損害に至った例が伝えられました（香川県内企業の事例、高松信用金庫の注意喚起）。法人の被害は年度末や決算期といった多忙な時期に集中しがちで、通話の中での小さな矛盾に気づく余地が狭まります。 個人では、電話停止を予告する機械音声が拡散しています。宮城県内では「この電話は二時間後に停止されます」という自動音声をきっかけに、オペレーター接続から電子マネー購入や認証コード詐取に至る事案が相次ぎました（TBS NEWS DIG、仙台放送）。通話の切迫感が払拭できないまま、資金と情報の双方が失われます。

技術の裏側：番号偽装と通話・SMS・ウェブの連携が生む強度

[番号表示] スプーフィング → 公式らしい番号に見せる
[経路] 国番号 +1 / +86 / +870 / +808 / +979 など
[連携] 通話 → 数字押下 → SMS → 偽サイト → 権限要求（Android）

発信者番号の偽装により、あたかも警察署や企業の代表番号からかかってきたかのように表示される事例が目立ちます。国際番号や衛星通信、国際分担課金（＋808）、国際プレミアムレート（＋979）といった枠組みも悪用され、折り返しや長時間通話に伴う高額請求まで狙う周到さが見え隠れします（Web担当者Forum 9/16）。 音声合成や自動音声の品質向上が、案内の不自然さを和らげ、脚本の信頼性を底上げしています。Android向けには不正アプリによる権限奪取と遠隔操作の足場作り、iOS向けには見まがうことのない偽ログイン画面での入力詐取という分業が成立。犯行側は通話網とメッセージ網、ウェブ、アプリ配布チャネルを横断する攻撃連鎖を設計し、どこか一つで検知されても次の段に逃げ込めるよう逃げ道を複線化しています。

若年層にも拡大する理由：権威化、携帯宛て、生成AI

対象拡大の3要因
1 携帯宛てに集中（固定電話依存からの転換）
2 権威型（警察・事業者）へのシフト
3 オンラインツール・生成AIの悪用

特殊詐欺は高齢者だけの問題ではありません。近年は若年層・現役世代にも被害が広がっています。調査では「携帯宛ての架電増」「家族なりすましから権威なりすましへのシフト」「オンラインツールや生成AIの悪用」という三要因が指摘されています（Web担当者Forum 7/10）。 行動経済学的には、損失回避、権威への服従、時間制約の導入が重畳し、受け手の認知資源を圧迫します。犯行側はそのすべてを一本の台本に織り込み、受け手がどこかで一度でも理性のブレーキを踏まない限り、最後まで走り切ってしまう構造を作ります。

OS別に見る弱点と初動：iOSは入力詐取、Androidは権限奪取

［iOS］偽ログイン画面 → ID/パスワード・個人情報入力を狙う
［Android］偽サイト＋不正アプリ → 権限・通知・SMSへのアクセス → 踏み台化

iOSでは、偽サイトでの入力詐取を想定した監視と通知が中心です。パスワードの使い回し回避、二段階認証の認証アプリ化、フィッシング検知機能の有効化を基本としてください。Androidでは、不明ソースのアプリインストール禁止、権限監視、業務端末のモバイル端末管理の徹底が要となります。 業務アカウントの端末登録は最小化し、万一の端末隔離とワイプ手順を事前に整備します。小規模企業では、外部のマネージドセキュリティサービスを組み合わせ、検知と初動を外注する選択肢も現実的です。

通話中に使える「停止の儀式」：即断を止めるルール設計

通話で疑念→切断→停止の儀式（10分何もしない）
→ 公式アプリ／正規サイトで自分で確認
→ 過去の明細・公式窓口の再確認
→ 第三者に状況共有

個人の対策は、反射行動の抑制から始まります。身に覚えのないSMSに記載の番号へかけ直さない、通話中に押下を求められても応じない、未知のURLを開かない。疑いを持ったら通話を切り、公式アプリやブックマーク済みの正規サイトから自分で連絡先を探し、改めて確認します。 具体的には、通話を切ったあとに一〇分間だけ何もしない「停止の儀式」を事前に決めます。この一〇分で公式情報を確認し、第三者に状況を共有します。家族や同僚と合言葉を取り決め、緊急連絡時は必ずそれを使う運用も有効です。

企業の防御運用テンプレート：電話起点の要求を二系統で検証する

受電 → 記録（番号・要件・名乗り）→ その場対応禁止
→ 代表番号へ折り返し／既知窓口へ確認 → 社内承認 → 実施
（ワンタイムコードの読み上げは全面禁止）

電話起点の詐欺を業務リスクとして明示し、財務・総務・情報システムの横断で標準ルールを定義してください。通話中の要求にはその場で応じず、必ず代表回線への折り返しと社内承認を経て手続きを進めます。通話内容の記録テンプレートを用意し、番号、日時、名乗り、要求内容、折り返し先を統一フォーマットで残します。 折り返しは代表番号または既存担当者に限定し、相手から提示された番号には原則かけません。ワンタイムパスコードや認証コードの読み上げは禁止とし、違反時の自動報告フローを設けることで抑止力を高めます。PBXや端末側の設定で不要な国際番号や非通知を制限することも現実的な防御です。

通話後に届くSMSの見抜き方：設計そのものが不自然かを見よ

チェック観点
・短縮URLや不自然なサブドメイン
・ブランド名と送信ドメインの不一致
・問い合わせ番号が明細と一致しない
・通話→数字押下→直後にURLという流れ自体が不自然

リンクの短縮や奇妙なサブドメイン、連絡先の名寄せ不一致、文面の語彙の粗さに注目してください。正規の本人確認であれば、公式アプリや会員サイトの通知センターが一貫した導線を提供します。通話で数字を押させ、その直後に外部リンクを踏ませるという設計そのものがセキュリティの原則に反しています。迷ったら必ず時間を置きます。

関係機関・事業者の動向：方針の明確化とネットワーク側の対策

行政・自治体：自動音声で未納連絡はしない（周知）
金融機関：暗証番号や認証コードの要求は行わない（明示）
通信事業者：国際番号制御・認証強化・迷惑通話フィード

自治体や消費者庁は、自動音声を用いた未納料金請求が正規の連絡手段ではないと繰り返し周知しています（消費者庁、広島市）。金融機関や決済事業者も、電話やSMSで暗証番号やワンタイムコードを求めない方針を明示しています。通信事業者は、国際番号の受信制御、迷惑通話のクラウド型フィード、発信者番号認証の高度化など、ネットワーク側の対策を進めています（NTT西日本の取り組み）。 NTTファイナンスは、同社を名乗る自動音声やSMSによる架空料金請求への注意喚起を継続しており、契約状況や回線停止を自動音声で通知することはないと明言しています（公式注意喚起ページ、NTT東日本の注意喚起）。自治体の広報や地域の防犯講座でも、実例ベースの啓発が広がっています。

「0110」に惑わされない：番号表示はもはや信頼できない

末尾「0110」や類似番号＝安全 の時代は終了
→ 表示番号に依存せず、発信主体を必ず二系統で検証

末尾「0110」の国際番号など、番号表示の紛らわしさを突いたケースが報告されています。番号表示に依存せず、発信主体の検証は必ず二系統で行ってください（代表番号への折り返しと公式サイトでの照合など）。調査記事は、二〇二五年四月時点での動向も詳細に示しています（Web担当者Forum 4/25）。

台本でわかる詐欺の構造：よく使われる言い回しカタログ

典型フレーズ
・この電話は2時間後に停止されます
・契約者情報の更新が必要です
・電子証明書の更新手続きが完了していません
・不正利用の疑いがあるため緊急対応が必要です

連絡の最終通告、二時間後の停止、契約者情報の更新、電子証明書の更新、確認コードの読み上げ、第三者による不正利用の疑い。これらは受け手の焦りと承認欲求、責任感を刺激するための定型句です。実在企業の窓口は、通話中にこのような圧迫的な選択を迫りません。遭遇したら、通話を切って公式の問い合わせ窓口に自分でかけ直してください。 台本に沿った典型的な会話の流れを知っておくと、通話中の違和感が鋭敏になります。最初に音声で停止を告げ、次に人間の担当者が身分を詳細に説明し、最後に緊急の対応を求めるという三段構えは、恐怖と安心を交互に与えて思考を摩耗させるためのものです。

被害に気づいた直後の一時間：資金と情報の流出を最小化する

0〜10分：通話切断→関係サービス一時停止→パスワード変更
10〜30分：金融機関・カード会社・キャリアへ連絡→口座凍結依頼
30〜60分：警察へ被害届→社内報告→ログ確保→端末隔離／初期化

被害に気づいた瞬間から時間との戦いです。利用した金融機関とカード会社、携帯キャリア、関係サービスに直ちに連絡して停止措置をとり、警察に被害届を提出します。同時に、端末の初期化やパスワード変更、二段階認証の再設定を行い、業務端末の場合は情報システム部門に速やかに報告します。通話番号、SMS本文、アクセスしたURL、入力した情報の種別を時系列で記録し、関係各所の調査に役立ててください。

まとめ：電話の作法をアップデートすることで被害は止められる

三原則
・通話中に決めない
・SMSの番号にかけない
・公式から自分で辿る

電話は最古のデジタル体験であり、その親しみやすさと即時性が攻撃の最前線になりました。SMSと自動音声、そして偽サイトと不正アプリをつなぐ脚本は、私たちの習慣と業務の隙を突くために設計されています。通話中に決めない、SMSの番号にかけない、公式から自分で辿る。この三原則を今日から徹底し、組織としては電話起点の要求をすべて二系統で検証する運用へと切り替えてください。 流行の手口は、知った瞬間から効かなくなります。関係機関や事業者の方針を支えに、知識を共有し、仕組みで守る。ここから先の被害を、私たちの手で終わらせましょう。最新の調査と注意喚起は、Web担当者Forumの9月記事、トビラシステムズのレポート、自治体や事業者の公式ページ（NTTファイナンス、NTT東日本、広島市など）で随時更新されています。情報は武器です。必ず最新情報を確認し、社内や家族で共有してください。

当社では、AI超特化型・自立進化広告運用マシン「NovaSphere」を提供しています。もしこの記事を読んで
・理屈はわかったけど自社でやるとなると不安
・自社のアカウントや商品でオーダーメイドでやっておいてほしい
・記事に書いてない問題点が発生している
・記事を読んでもよくわからなかった
など思った方は、ぜひ下記のページをご覧ください。手っ取り早く解消しましょう

▼AI超特化型・自立進化広告運用マシンNovaSphere▼