📰 週刊コラム

【2026年4月第2週】宅配業者を装うSMS詐欺が増加|URLは絶対に開かないでください

📅 2026年4月10日 🔄 更新:2026年4月25日 🛡️ 詐欺から身を守る 編集部

2026年4月第2週、宅配業者・銀行・クレジットカード会社・携帯電話会社を装ったSMSによるフィッシング詐欺が全国で急増しています。
「荷物を届けに行きましたが不在でした」「不正アクセスを検知しました」「料金のお支払いが確認できません」といった内容でURLのクリックを促し、精巧に作られた偽サイトへ誘導して個人情報やクレジットカード情報・ネットバンキングの認証情報を盗み取る手口です。

被害に遭った方の多くは「心当たりのある荷物があった」「本物のサイトと見分けがつかなかった」と証言しています。本記事で手口と見分け方を学び、被害を防いでください。

📱 重要:宅配業者・銀行・カード会社は「SMS内のURLからログインや支払いを求める」ことはありません。URLは絶対に開かないでください。

今週の主な詐欺事例

① ヤマト運輸を装ったSMS(33歳女性・クレカ不正利用78万円)

「ヤマト運輸:お荷物の配達が完了できませんでした。再配達のご予約はこちら:https://yamato-delivery●●.shop/redelivery」というSMSが届きました。
通販サイトで注文した商品の配送タイミングと一致していたため、疑わずにURLをタップ。本物のヤマト運輸の公式サイトと同じデザイン・配色・ロゴの偽サイトへ誘導されました。

「再配達には手数料220円のお支払いが必要です」という画面でクレジットカード番号・有効期限・セキュリティコード・カード名義人を入力してしまいました。
翌朝、カード会社から「海外ショッピングサイトでの不審な利用が検知されました」という連絡が届き、被害が発覚。入力から8時間以内に78万円が不正利用されていました。

🔍 ポイント:正規のヤマト運輸のドメインは「kuronekoyamato.co.jp」のみ。「.shop」「.online」「.cn」「.xyz」などのドメインは偽物です。少額(220円)の手数料を要求することで警戒心を下げる手法が使われています。スマートフォンではURLが見えにくいため特に注意が必要です。

② 三菱UFJ銀行を装ったSMS(47歳男性・口座から120万円不正送金)

「三菱UFJダイレクト:お客さまのアカウントにおいて第三者からの不正アクセスが検知されました。アカウントを保護するために以下からご確認ください:https://mufg-secure●●.net/login」というSMSが届きました。
「不正アクセスされているなら早く対処しなければ」と焦り、URLをタップ。銀行の公式サイトと完全に同じデザインのログインページでID・パスワードを入力しました。

「追加認証が必要です。ワンタイムパスワードを入力してください」という画面が表示され、実際に届いたワンタイムパスワード(SMS認証)も入力してしまいました。
これにより詐欺師はリアルタイムで男性のネットバンキングアカウントに不正ログイン。30分以内に120万円が海外口座に送金されていました。

🔍 ポイント:ワンタイムパスワードを入力させることで、銀行の2段階認証を突破する高度な手口。フィッシングサイトはリアルタイムで本物の銀行サイトへの操作を中継(リアルタイムフィッシング)します。銀行の公式ドメインかどうかを必ずURLバーで確認してください。

③ 楽天カードを装ったSMS(51歳女性・クレカ情報盗難・被害額90万円)

「【楽天カード】お客様のカードご利用確認のためご本人様認証が必要です。48時間以内に手続きされない場合、カードを一時停止いたします:https://rakuten-card●●.info/auth」というSMSが届きました。
「カードが止まると困る」という焦りから偽サイトにアクセスし、カード番号・有効期限・セキュリティコード・生年月日・楽天のIDとパスワードまで入力してしまいました。

その後、楽天市場での大量購入・電子マネーへのチャージ・他のECサイトでの利用など、合計90万円の不正利用が確認されました。楽天カードに届け出て一部は補償されましたが、個人情報が流出した状態は継続しており、他サービスのパスワード変更も必要になりました。

🔍 ポイント:「48時間以内」という時間的プレッシャーで焦らせる典型的な手口。楽天カードの正規ドメインは「rakuten-card.co.jp」のみ。カード会社はSMSで期限を設けてカード情報の入力を求めることはありません。

なぜ「本物そっくり」の偽サイトが作れるのか

現在のフィッシング詐欺グループは、公式サイトのHTMLを丸ごとコピーしてクローンサイトを作成する技術を持っています。

  • 🖥️ 完全コピーのデザイン:ロゴ・配色・フォント・レイアウトまで公式サイトと完全一致
  • 🔒 SSLの偽安心感:「https」と鍵マークが表示されても偽サイトの可能性あり(無料で取得できる)
  • 📱 スマートフォンの見づらさ:URLバーが小さく、ドメインが確認しにくい
  • リアルタイム攻撃:入力した情報をリアルタイムで本物のサービスに使用する高度な手口も

本物のSMSと詐欺SMSの見分け方

確認項目 本物 フィッシングSMS
URLのドメイン 公式ドメイン(japanpost.jp等) .shop/.info/.cn/.xyz等
送料・手数料の要求 SMSで求めない 少額(160〜300円)を要求
緊急性の表現 ほぼ使わない 「今すぐ」「48時間以内」
パスワード・暗証番号 SMSリンクから求めない 偽サイトで入力を求める
ワンタイムパスワード サービス内でのみ使用 偽サイトで入力を促す

URLを開いてしまう前に:確認の習慣

SMSで宅配・銀行・カードに関するリンクが届いたら、URLをクリックする前に以下の手順を試してください。

  1. 📦 宅配の場合:公式アプリ(クロネコ・佐川・ゆうパック等)を直接開いて、配送状況を確認する
  2. 🏦 銀行の場合:銀行の公式アプリを直接開く。または銀行カード裏面の電話番号に電話する
  3. 💳 カードの場合:カード裏面の「紛失・盗難専用番号」に電話して確認する
  4. 📱 携帯料金の場合:各キャリアの公式アプリ(My au・My docomo等)から確認する

今すぐできる対策

  • 📵 SMSのURLは絶対に開かない:心当たりがあっても公式アプリや公式サイトから直接確認
  • 🔍 URLのドメインを確認する:長押しでURLを確認し、公式ドメイン以外は開かない
  • 💳 クレジットカード情報をSMSリンク先で入力しない
  • 🔐 ワンタイムパスワードは絶対にSMSリンク先で入力しない:求めてくる時点で詐欺
  • 🛡️ セキュリティアプリを導入する:フィッシングサイトを自動検知・ブロックするアプリが有効
  • 📲 各サービスの公式アプリを使う習慣をつける:SMSよりアプリ通知の方が安全

被害に遭ったと気づいたらすぐに行動

  1. 💳 クレジットカードを即時停止:カード裏面の紛失・盗難専用番号(24時間対応)へ
  2. 🏦 ネットバンキングのパスワードを変更:同じパスワードを使い回している他サービスも変更
  3. 📞 カード会社・銀行に不正利用を報告:補償対応の申請を行う
  4. 🚔 警察(#110)に被害届を提出:スクリーンショット・SMS画面を証拠として保存
  5. 📱 スマートフォンのセキュリティスキャンを実行:マルウェアが入っている可能性

関連情報

📚 他のコラムを読む
トップへ戻る →