マイナポータルをかたるSMS詐欺の実例と見破り方
「カードが失効します」「認証が無効になります」——その1通、本物ですか?
📋 目次
本記事はマイナポータルをかたるSMS詐欺の手口を正確に理解し、自分と家族を守ることを目的としています。SMS文例・偽ドメインのパターンはすべて啓発・教育目的で記載しています。フィッシング詐欺の実行は詐欺罪・不正アクセス禁止法等に該当する重大な犯罪です。
📢 いま何が起きているか
マイナポータルをかたるSMS詐欺の被害実態と、なぜ今この手口が急増しているのかを解説します。
「マイナンバーカードの有効期限が切れます」——この1通が危険
スマートフォンに届く1通のSMS。送信者名には「マイナポータル」や「デジタル庁」と表示され、文面はもっともらしい日本語。URLをタップすると本物そっくりの偽サイトが現れ、マイナンバー・暗証番号・クレジットカード番号の入力を求めてきます。これが2024〜2025年に急増しているマイナポータルなりすましSMS詐欺の典型的な手口です。
💬 実際に届く偽SMSの文例(3種)
以下は実際に報告されている詐欺SMSのパターンを再現したものです。本物のマイナポータルやデジタル庁がSMSでこうした内容を送ることはありません。
【文例①】有効期限系——「更新しないとサービス停止」
差出人:マイナポータル
【重要】マイナンバーカードの有効期限が近づいています。期限内に更新手続きを完了しないと、各種行政サービスが利用できなくなります。こちらより本人確認をお願いします:http://mynaportal-update.com/verify/jp【文例②】認証無効系——「24時間以内に対応を」
差出人:デジタル庁
【緊急】あなたの個人番号認証が無効になりました。24時間以内に再認証を行わないと、マイナポータルへのアクセスが停止されます。今すぐ確認:https://myna.go.jp-auth.net/login【文例③】ポイント失効系——「本日中に受け取りを」
差出人:マイナポイント事務局
お客様のマイナポイント15,000ptが未受取のため、本日失効します。ポイントを受け取るには以下のURLから手続きをお願いします:https://mynaportal.jp.point-check.top「緊急性(今すぐ・24時間以内)」「損失の恐怖(サービス停止・ポイント失効)」「権威性(公的機関の名称)」——この3要素が組み合わさると、人は冷静な判断を失いやすくなります。詐欺師は心理学でいう「希少性バイアス」と「権威への服従」を意図的に利用しています。
📊 被害の実態
フィッシング対策協議会の報告によると、フィッシング詐欺の月間報告件数は2023年に100,000件を突破し、2024年以降も高止まりが続いています。行政・マイナンバー関連をかたるフィッシングは急増カテゴリの一つです。警察庁によれば、インターネットバンキングを悪用した不正送金被害は2023年に過去最多水準を更新し、被害総額は50億円を超えました。SMS詐欺はその主要な入口となっています。
月10万件超
フィッシング月間報告件数(2023年ピーク)
行政系が急増
マイナポータル・e-Tax・保険証関連が上位に
50億円超
不正送金被害額(2023年・過去最多水準)
数週間後に発覚
被害から気づくまでのタイムラグが大きい
なぜマイナポータルが狙われるのか
マイナポータルは、行政の多くの手続きを一元管理する日本最大級の行政デジタルプラットフォームです。マイナンバー・住民票・健康保険・税情報、さらには銀行口座と連携しているユーザーも多い。詐欺師がこれを狙う理由は3つあります。
行政権威への信頼
「デジタル庁」「マイナポータル」という名称には強い権威性があります。「無視したら困ることになる」という心理的プレッシャーが働きやすく、冷静な判断をしにくくさせます。民間サービスより義務感を感じやすいのが特徴です。
個人情報の宝庫
マイナンバー・住民票・年金・健康保険・税情報が一か所に集まっています。一度アカウントを乗っ取れば複数の行政手続きを不正実行でき、盗んだ情報もダークウェブで高値がつきます。詐欺師にとって効率の良いターゲットです。
利用者の不慣れ
マイナポータルのUI・通知方法に慣れていないユーザーが多く、「本物かどうか」の判断基準を持っていません。「行政からのSMSはこんな感じかもしれない」と思い込まされやすい状況が続いています。
🔬 SMSの”本物と偽物”を解剖する
送信者名の偽装(SMSスプーフィング)の仕組みと、本物・偽物を見分けるための具体的なポイントを解説します。
「マイナポータル」という名前が表示されていても、本物とは限らない
SMSには「送信者ID」という仕組みがあり、電話番号の代わりに「マイナポータル」「デジタル庁」などの文字列を表示させることができます。これをSMSスプーフィング(なりすまし送信)といいます。スマートフォンの受信画面では本物と同じ差出人名が表示されるため、見た目だけでは判断できません。
📱 SMSスプーフィングの仕組み
本物と偽物の違い——一覧で確認
| 確認ポイント | ✅ 本物の連絡 | ⚠ 偽物のSMS |
|---|---|---|
| 連絡手段 | アプリ内通知・登録メール・郵送 | SMSで個人情報の入力を要求 |
| ドメイン | mynaportal.go.jp / myna.go.jp(.go.jpは政府機関専用) | go.jp-auth.net / mynaportal-update.com など |
| 情報の要求 | SMSで暗証番号・カード番号を求めることはない | 「今すぐ」番号・パスワード・カード情報を要求 |
| 緊急性の演出 | 余裕あるスケジュールで案内(更新は数ヶ月前から) | 「24時間以内」「本日中」と強い期限を主張 |
| 鍵マーク(HTTPS) | 正規ドメイン+SSL証明書 | 鍵マークがあっても詐欺ドメインの可能性あり |
「鍵マーク=安全」は誤りです
「URLに鍵マーク(HTTPS)があれば安全」という誤解が広まっています。鍵マークは通信が暗号化されているという意味であり、サイトが本物かどうかの証明ではありません。詐欺師も無料のSSL証明書(Let’s Encrypt等)を使って鍵マークを表示できます。必ずドメイン名(.go.jpかどうか)を確認してください。
偽ドメインの3大パターン
サブドメイン偽装
mynaportal.go.jp.悪ドメイン.net のように、正規ドメインをサブドメイン(左側)に配置します。URLバーを末尾まで確認しないと本物に見えてしまいます。最も多く報告されている手口です。
タイポスクワッティング
mynaporta1.go.jp(l→1)、mynaportal.go.jp(文字入れ替え)などアルファベットを似た文字に置き換えます。スマホの小さな画面では特に気づきにくい手口です。
関連語句を含む新規ドメイン
mynaportal-support.com、myna-point-check.net など「myna」「portal」「japan」を含む新規ドメインを取得します。それらしく見えますが.go.jpではない点が決定的な違いです。
フィッシングキットの全体フロー
📱 SMS一斉送信(数万〜数百万件)
海外SMS送信サービスを使い「マイナポータル」差出人IDを偽装して一斉送信。1通あたり数円と低コスト。わずか数人が引っかかるだけで採算が取れます。
🔗 偽サイトへ誘導
URLをタップすると、マイナポータルのデザインをコピーした偽サイトへリダイレクト。本物そっくりのUIで「本人確認」「再認証」を促します。
📝 個人情報・暗証番号を入力させる
マイナンバー・氏名・生年月日・住所・暗証番号(4桁)の入力を求めます。途中でクレジットカード番号・有効期限・CVVを要求してくることも。
🚨 リアルタイムで情報収集・即時悪用
入力情報は即座に詐欺師サーバーへ送信され、不正利用が始まります。盗んだカード情報はダークウェブで売買され、複数の詐欺師が繰り返し使用することもあります。
🔍 詐欺師が狙う情報と被害パターン
何が盗まれ、どう悪用されるのか。4つの被害パターンと連鎖の仕組みを解説します。
盗まれた情報は「束」で連鎖する
詐欺師が狙っているのは、一種類の情報ではありません。マイナンバー・暗証番号・カード情報・電話番号が揃えば、複数の不正行為を連鎖的に実行できます。情報が「束」になることで被害が指数関数的に広がります。「番号だけ入力したから大丈夫」という判断は危険です。
奪われる情報と悪用シナリオ(4パターン)
マイナンバー+暗証番号
マイナポータルにログインされ、住民票・印鑑証明の取得や各種行政手続きの不正実行が可能になります。転出届を勝手に出されて住民票を移される事例も報告されています。公金受取口座を差し替えられるリスクもあります。
クレジットカード情報
カード番号・有効期限・CVVが揃えば即座に不正購入が始まります。一度使われた情報はダークウェブで売買され、複数の詐欺師が繰り返し使用することも。気づくまでに何十万円もの被害になります。
SIMスワッピング
氏名・住所・生年月日・電話番号が揃うとキャリアに「SIM再発行」を申請されます(なりすまし)。SIMを乗っ取られるとSMSで届く二段階認証コードも盗まれ、銀行・各種サービスへの乗っ取りが連鎖します。
銀行口座情報
「登録口座の確認」と称して口座番号・暗証番号を入力させます。インターネットバンキングへの不正ログインや即時送金の被害につながります。自分の口座がマネーロンダリングの「出口」として使われるリスクもあります。
🔗 被害の連鎖——1回の入力がどこまで広がるか
「マイナンバーだけ盗まれても大丈夫」は誤りです
「マイナンバーは番号だけだから漏れても問題ない」と誤解している方が多いのですが、これは危険な思い込みです。
- ⚠マイナンバー+氏名・生年月日・住所が揃うと、社会保険・年金・税務の虚偽申請に使われる可能性がある
- ⚠他の流出情報と組み合わせると本人確認書類の不正作成に悪用される
- ⚠マイナンバーは一度漏れると原則変更できない(変更は著しい不利益がある場合のみ例外的に認められる)
- ⚠詐欺師はマイナンバーを他の個人情報と束にしてダークウェブで高値で売却する
このSMS詐欺はマイナンバーだけでなく、暗証番号・氏名・生年月日・住所・電話番号を一度に収集することを目的としています。「番号だけ入力したから大丈夫」ではなく、何か1つでも入力した時点で §5 の緊急対応を実行してください。
🔍 フィッシングサイトの見破り方(実践)
URLバーのドメインを正しく読む方法と、偽サイトを見破るための具体的なチェックリストを解説します。
SMSのリンクをタップする前に——まずドメインを確認する
フィッシング被害を防ぐ最大の防壁は「URLのドメイン部分を確認すること」です。スマートフォンでは画面が小さいためURLが省略表示されがちですが、ブラウザのアドレスバーをタップして全体を確認する習慣が重要です。
📱 ドメインの正しい読み方——どこが「本体」か
URLは右から読むのが基本です。https://のあと、最初のスラッシュ(/)が現れるまでの部分が「ドメイン」です。そのドメインを右から読んで、最後のドット(.)から右の2〜3つがTLD(トップレベルドメイン)、その左が「実際の運営者を示すドメイン名」です。
🧩 URL解読の実例——本物と偽物の見分け方
本物マイナポータルとの比較チェックリスト
| チェック項目 | ✅ 本物 | ⚠ 偽物の特徴 | 確認方法 |
|---|---|---|---|
| ドメイン | mynaportal.go.jp myna.go.jp |
.go.jpで終わらない go.jpがサブドメインに |
URLバーを最後まで確認 |
| SMS発信元 | 行政からSMSでURL付きは原則なし | URLクリックを促す | SMSにURLがあったら疑う |
| 情報の要求内容 | 4桁暗証番号・カード情報をSMS経由で求めない | 暗証番号・カード番号を要求 | 要求内容を冷静に確認 |
| 日本語の品質 | 正確な日本語・公文書調 | 不自然な表現・誤字あり | 文面を注意深く読む |
| 連絡先の表示 | デジタル庁の公式連絡先が明記 | 連絡先なし・偽の番号 | 公式サイトと照合 |
SMSのリンクを開く前にすること——3ステップ
📋 URLをコピーして別タブで確認
リンクを長押し→「URLをコピー」→メモ帳やブラウザのアドレスバーに貼り付けてドメインを確認。タップしてから確認では遅いケースもあります。
🔍 公式サイトをブックマークから直接開く
SMSのリンクから開かず、あらかじめブックマークしておいたmynaportal.go.jpや公式アプリから直接アクセスして確認します。SMSが本物なら、公式サイトにも同じ通知が届いているはずです。
📞 不安なら公式窓口に電話確認
マイナンバー総合フリーダイヤル(0120-95-0178)に電話して「こんなSMSが届いたが本物か」と確認するのが確実です。本物の行政機関は電話確認を嫌がりません。
「本物に見えたら開く」ではなく「疑わしければ開かない」が正解
フィッシングサイトは本物のスクリーンショットや同じHTMLを流用して作られるため、見た目だけでは見分けられません。「本物らしい」という印象を信じるより、「ドメインが.go.jpで終わっているか」という客観的事実を確認する習慣を持ちましょう。
🚨 開いてしまった・入力してしまったら
もし偽サイトにアクセスしてしまった場合、または情報を入力してしまった場合の緊急対応手順を解説します。
情報を入力した瞬間から詐欺師の悪用が始まります。「まあ大丈夫かも」と様子を見ている時間はありません。以下の対応を気づいた直後に開始してください。
ケース別の対応
【ケースA】リンクを開いただけ・何も入力していない
大きなリスクはありませんが、念のため①ブラウザの閲覧履歴・キャッシュ・Cookieを消去する②Wi-Fiを一時的にオフにする③スマートフォンを再起動する——の3点を実行してください。マルウェアの自動インストールは現在のスマートフォンOSでは稀ですが、不安ならセキュリティアプリでスキャンすることも有効です。
【ケースB】マイナンバー・暗証番号を入力してしまった——5ステップ緊急対応
🔒 マイナポータルの暗証番号を即座に変更
マイナポータルアプリまたは市区町村窓口で暗証番号(利用者証明用電子証明書の数字4桁)を変更します。窓口では本人確認書類とマイナンバーカード現物が必要です。
📞 マイナンバー総合フリーダイヤルへ連絡
0120-95-0178(24時間・無料)に電話し「フィッシングサイトに情報を入力した」と申告します。必要に応じてカードの利用停止・再発行手続きを案内してもらえます。
🏦 連携しているすべてのサービスのパスワードを変更
マイナポータルと連携している銀行・年金・医療保険等のサービスのパスワードを変更します。同じ暗証番号・パスワードを他のサービスでも使っている場合は特に急いで変更してください。
🕵️ 不正利用の形跡を確認
マイナポータルのログイン履歴・利用履歴を確認します。見知らぬIPアドレスからのログインや不審な申請がないかチェックしてください。
👮 警察・消費者センターへ被害申告
最寄りの警察署またはサイバー犯罪相談窓口(各都道府県警察)に被害申告します。消費者ホットライン(188)にも連絡することで、被害拡大防止の情報共有につながります。
【ケースC】クレジットカード情報を入力してしまった
- 1すぐにカード会社の緊急連絡先に電話——カード裏面の番号または24時間対応の不正利用専用ダイヤルへ。カードの利用停止を依頼します。
- 2カード明細をすぐに確認し、不審な請求があればチャージバック申請(不正利用の返金申請)を行います。
- 3カードを再発行してもらいます。番号が変わるため、登録しているサービスの更新も必要になります。
- 4同じカードを複数のサービスで使っている場合、それらのサービスのパスワードも変更します。
SIMスワッピング被害の兆候と対処
名前・住所・生年月日・電話番号が盗まれた場合、詐欺師がキャリアに「SIM再発行」を申請するSIMスワッピング攻撃が発生することがあります。
SIMスワッピングの兆候——「急に電波が切れた」は要注意
SIMを乗っ取られると自分のスマホの回線が使えなくなります。症状:①突然「圏外」または「SIMなし」表示になる②SMS・電話が届かなくなる③見知らぬ番号から「あなたの番号に乗り換え完了」とSMSが来る——これらが現れたらすぐにキャリアに電話(別の端末・固定電話から)してSIM利用停止を依頼してください。
📞 相談窓口まとめ
📞 マイナンバー総合フリーダイヤル
- 0120-95-0178
- 24時間・無料
- カード停止・再発行の相談
📞 消費者ホットライン
- 188(いやや)
- 最寄りの消費生活センターへ
- 被害回復の相談
💻 フィッシング対策協議会
- info@antiphishing.jp
- 被害情報の報告先
- 注意喚起情報を確認できる
👮 警察サイバー相談
- #9110(警察相談専用)
- 各都道府県警のサイバー相談窓口
- 被害申告・情報提供
🛡️ 根本対策と今すぐできること
日常的に実践できる予防策と、家族・高齢者への伝え方を解説します。
「疑う習慣」が最強の防御です
技術的な対策も大切ですが、最も効果的な防御は「SMSに届いたURLは原則タップしない」というシンプルな行動習慣です。行政機関はSMSでURLをクリックさせて個人情報を入力させることは原則行いません。この一点を徹底するだけで、被害リスクは大幅に低下します。
今すぐできる5つの対策
- ①マイナポータル公式アプリをインストールしてホーム画面に置く。通知はアプリ経由で確認する習慣をつける(SMSは見ない)。
- ②mynaportal.go.jp をブックマークする。アクセスするときはSMSのリンクでなく、必ずブックマークから開く。
- ③SMS受信フィルタ機能を有効化する(各キャリアの「迷惑SMS フィルタ」設定)。完全ではないが既知の詐欺SMSをブロックできる。
- ④クレジットカードの利用通知をオンにする。不正利用があればリアルタイムでアラートが届き、早期発見につながる。
- ⑤マイナポータルのログイン履歴を定期確認する(月1回程度)。見知らぬIPや時刻のログインがあれば即対処。
マイナポータルの正規の通知方法——覚えておくべき3点
| 連絡手段 | 本物の行政が使うか | URLクリックを促すか | 個人情報入力を求めるか |
|---|---|---|---|
| SMS | ⚠ 原則使わない | ❌ しない | ❌ しない |
| メール | 登録メールアドレスへ通知あり | あり(ただし公式ドメインのみ) | ❌ しない |
| アプリ内通知 | ✅ 主要な通知手段 | アプリ内で完結 | アプリ内で本人確認 |
| 郵送 | ✅ 重要手続きは郵送 | ❌ URLのみ押しつけない | ❌ 郵送物単体では求めない |
家族・高齢者への伝え方——やさしい3カード
SMSのURLは押さない
「マイナポータルからSMSが来ても、URLを押さないでね」と一言伝えましょう。「怪しいと思ったら家族に見せてから」でも構いません。押す前に確認する習慣が被害を防ぎます。
不安なら188に電話
「なんか変なSMSが来て心配」と思ったら、消費者ホットライン188に電話することを教えておきましょう。無料で相談でき、最寄りの消費生活センターにつないでもらえます。
カード・番号は絶対入力しない
「スマホの画面でマイナンバーカードの番号やクレジットカードの番号を入力するよう求めてきたら、絶対に入力しないで」。これだけ覚えてもらうだけで大きな被害を防げます。
SMS詐欺と組み合わせて使われることが増えているAI音声詐欺(ディープフェイク音声による電話詐欺)については、AI音声詐欺・ディープフェイクフィッシング解説も参照してください。インシデントが発生した場合の対応手順はインシデント対応プレイブックが参考になります。
📖 用語集・FAQ・相談窓口
本記事で登場した重要用語の解説と、よくある質問への回答をまとめます。
📚 用語集
| 用語 | 解説 |
|---|---|
| フィッシング詐欺 | 本物に見せかけた偽サイトやSMS・メールで、個人情報・金融情報を盗み取る詐欺の総称。 |
| SMSスプーフィング | SMSの「差出人ID」を任意の文字列(例:「マイナポータル」)に偽装して送信する技術。受信者側では本物と区別しにくい。 |
| SIMスワッピング | 盗んだ個人情報を使ってキャリアに「SIM再発行」を申請し、被害者の電話番号を乗っ取る攻撃。二段階認証を突破するために使われる。 |
| ダークウェブ | 通常のブラウザでアクセスできない匿名ネットワーク(Tor等)上に存在するWebサイト群。盗まれた個人情報・カード情報が売買される場所として知られる。 |
| タイポスクワッティング | 正規ドメインに似せた偽ドメイン(1文字違い等)を取得し、誤ってアクセスしたユーザーを騙す手口。 |
| サブドメイン偽装 | 「mynaportal.go.jp.悪意のあるドメイン.com」のように、正規ドメインをURLの左側(サブドメイン部分)に配置して本物に見せかける手口。 |
| チャージバック | クレジットカードの不正利用が発覚した際に、カード会社に申請することで不正請求を取り消してもらう手続き。 |
| マルウェア | 悪意のあるソフトウェアの総称。フィッシングサイト経由でインストールされ、情報を盗んだり遠隔操作されたりする。 |
| 利用者証明用電子証明書 | マイナンバーカードに搭載された電子証明書の一つ。マイナポータルへのログイン等に使われ、4桁の暗証番号で保護される。 |
| フィッシング対策協議会 | 日本国内のフィッシング詐欺対策を推進する業界団体。月次のフィッシング報告件数統計や注意喚起を発信している。 |
❓ よくある質問(FAQ)
📚 参考・出典
- フィッシング対策協議会「フィッシング報告統計」(月次更新) — antiphishing.jp
- 警察庁「令和5年におけるサイバー空間をめぐる脅威の情勢等について」2024年3月
- IPA(情報処理推進機構)「情報セキュリティ10大脅威 2024」
- デジタル庁「マイナポータルに関するよくある質問・フィッシング注意喚起」— myna.go.jp
- 消費者庁「消費者ホットライン188について」— caa.go.jp
- 総務省「SMS送信者IDの偽装に関する注意喚起」— soumu.go.jp
- JPCERT/CC「フィッシングサイト対策ガイドライン」— jpcert.or.jp
①SMSのURLは原則タップしない——行政がSMSでURLクリックを求めることは原則ない。②ドメインが.go.jpで終わるか確認——鍵マークではなくドメイン名を見る。③入力してしまったら即行動——暗証番号変更・カード会社連絡・188相談を時間との勝負で実行する。この3点を家族全員で共有してください。
コメント