MENU
PR 本記事には広告(Amazonアソシエイト・もしもアフィリエイト・A8.net等)が含まれます。掲載情報の正確性には努めていますが、商品の詳細は必ずリンク先で最新情報をご確認ください。

認証コードを入力してしまったら?SMS認証・ワンタイムパスワード詐欺の対処法

認証コードを入力してしまったら?SMS認証・ワンタイムパスワード詐欺の対処法 アイキャッチ画像
安全に生きたい編集部

SMSで届いた6桁の番号を、偽サイトっぽい画面に入力しちゃったかもしれない…。パスワードを変えれば大丈夫?

認証コードまで渡している場合は、ログインや支払いが通っている可能性があります。公式アプリから履歴を確認して、必要ならすぐ窓口へ連絡しよう。

スマホに届いた6桁の数字。「本人確認のために入力してください」と表示されると、本物の手続きに見えます。

でも、その画面が偽サイトだった場合、入力した認証コードやワンタイムパスワードは相手に渡ってしまいます。認証コードは、本来あなた本人であることを確認するためのものです。それを詐欺サイトや電話相手に渡してしまうと、ログイン、送金、支払い、アカウント乗っ取りに使われるおそれがあります。

先に結論:認証コード、SMS認証コード、ワンタイムパスワードを偽サイトや電話相手に入力・伝達してしまった場合は、SMSやメールのリンクを閉じ、対象サービスの公式アプリ・公式サイトから履歴を確認してください。

警察庁は、フィッシングで入力を求められる情報の例として、金融機関の口座番号、クレジットカード番号、暗証番号に加え、ワンタイムパスワードなどを挙げています。また、フィッシングサイト等にIDやパスワード等を入力してしまった場合は、その情報を使っている全てのサービスで速やかに変更するよう案内しています。出典:警察庁「フィッシング対策」

Contents
  1. 1. まずやること:公式アプリから確認し、パスワードを変更する
    1. 危険度チェック
  2. 2. 認証コードを入力すると何が危ないの?
  3. 3. ケース別:入力してしまった後の対処法
    1. 銀行・ネットバンキングの認証コードを入力した場合
    2. 証券口座の認証コードを入力した場合
    3. クレジットカード会社の認証コードを入力した場合
    4. PayPayなど決済アプリの認証コードを入力した場合
    5. Apple Account(Apple ID)・Googleアカウントの確認コードを入力した場合
  4. 4. 電話で認証コードを聞かれた場合
  5. 5. 入力しただけで、まだ被害がない場合は?
  6. 6. やってはいけないこと
  7. 7. 家族で決めておきたいルール
  8. 8. すでにお金が動いた場合
  9. まとめ
  10. 関連記事
  11. 参考情報

1. まずやること:公式アプリから確認し、パスワードを変更する

最初にやる6つ

  1. SMSやメール内のリンクを閉じる
  2. 公式アプリ、またはブックマーク済みの公式サイトを開く
  3. ログイン履歴・利用履歴・送金履歴を確認する
  4. パスワードを変更する
  5. 同じパスワードを使っているサービスも変更する
  6. 不審な取引があれば、カード会社・銀行・決済会社に連絡する

危険度チェック

認証コードを入力・伝達してしまった場合は、どのサービスのコードだったかで緊急度が変わります。迷う場合は、危険度を低く見積もらず、公式窓口に確認してください。

入力・伝達したもの危険度まずやること
ログイン用のSMS認証コードパスワード変更・ログイン履歴確認
銀行のワンタイムパスワードとても高い銀行へ連絡・利用停止相談
カード決済の認証コードとても高いカード会社へ連絡
PayPayなど決済アプリの認証コード利用履歴確認・サポート連絡
Apple Account(Apple ID)・Googleの確認コード端末確認・パスワード変更
電話で読み上げた公式窓口へかけ直す

金融庁は、インターネットバンキングの不正送金対策として、SMS等に記載されたURLからアクセスせず、正しいURLをブックマークしておくことや、金融機関の公式アプリを利用することを案内しています。利用状況通知を有効にし、不審なログイン、パスワード変更、送金などがないか確認することも重要です。出典:金融庁「インターネットバンキングによる預金の不正送金事案が急増しています。」

2. 認証コードを入力すると何が危ないの?

認証コードは、ログインや支払いの最後の確認に使われることがあります。たとえば、詐欺側があなたのID・パスワードをすでに入手している場合、最後に必要なのがSMS認証コードやワンタイムパスワードです。

そこで偽サイトや電話で、「本人確認のため、届いた6桁の番号を入力してください」「確認コードを教えてください」「手続きに必要なので、今届いた番号を読み上げてください」と誘導してきます。

IPAは、ワンタイムパスワードをリアルタイムに詐取して悪用する「リアルタイムフィッシング」の手口を説明しています。偽サイトにID・パスワードを入力した人を、さらに偽のワンタイムパスワード入力画面へ誘導し、入力されたコードをすぐ悪用してアカウント乗っ取りや不正決済を行うものです。出典:IPA NEWS Vol.69「フィッシング詐欺に新たな手口。ワンタイムパスワードの窃取も!」

3. ケース別:入力してしまった後の対処法

銀行・ネットバンキングの認証コードを入力した場合

これは最優先で対応します。ワンタイムパスワードまで渡している場合、不正ログインだけでなく不正送金まで進んでいる可能性があります。

  • 銀行に連絡する
  • ネットバンキングの利用停止を相談する
  • パスワードを変更する
  • 振込・出金・登録先変更がないか確認する
  • 利用通知・ログイン通知を有効にする

証券口座の認証コードを入力した場合

証券口座も危険度が高いです。不正ログイン後に、勝手に売買されたり、出金先を変更されたりする可能性があります。

  • 証券会社に連絡する
  • ログインパスワード・取引パスワードを変更する
  • 保有銘柄の売買履歴を確認する
  • 出金先口座や登録情報の変更がないか確認する
  • 多要素認証・ログイン通知を有効にする

金融庁は、金融機関を騙ったフィッシングによる不正送金・不正取引被害が増加しているとして、銀行・証券会社などと連携し、フィッシングメールへの注意喚起やフィッシング耐性のある多要素認証の周知を進めています。出典:金融庁「フィッシング耐性のある多要素認証等に係る官民一体・業界横断的な広報について」

クレジットカード会社の認証コードを入力した場合

カード決済の本人確認コードを入力してしまった場合、不正決済が通ってしまう可能性があります。「少額だから大丈夫」と放置しないほうが安全です。

  • カード会社に連絡する
  • 利用停止・再発行を相談する
  • 利用明細を確認する
  • 身に覚えのない決済があれば申告する
  • カード会社アプリの通知を有効にする

PayPayなど決済アプリの認証コードを入力した場合

決済アプリの場合、残高利用、チャージ、送金、アカウント乗っ取りにつながることがあります。SMSやメール内のリンクではなく、必ず公式アプリから確認します。

  • 公式アプリを開く
  • 利用履歴・送金履歴を確認する
  • パスワードを変更する
  • 端末連携やログイン中の端末を確認する
  • 決済会社のサポートに連絡する

Apple Account(Apple ID)・Googleアカウントの確認コードを入力した場合

Apple Account(Apple ID)やGoogleアカウントを乗っ取られると、メール、写真、連絡先、クラウド、アプリ購入、他サービスのパスワード再設定にも影響することがあります。

  • 公式サイト・公式設定アプリからパスワードを変更する
  • ログイン中の端末を確認する
  • 見覚えのない端末をログアウトする
  • 復旧用メール・電話番号が変えられていないか確認する
  • 2段階認証の設定を確認する

Appleは、Apple Accountのパスワードや確認コードを絶対にほかの人に教えないよう案内しています。詐欺サイトにパスワードや個人情報を入力した可能性がある場合は、ただちにApple Account(Apple ID)のパスワードを変更し、2ファクタ認証が有効になっていることを確認するよう説明しています。出典:Appleサポート「フィッシングメッセージ、偽のサポート電話、その他の詐欺を含むソーシャルエンジニアリングスキームを認識し、対処する」

Googleアカウントで覚えのないアクティビティが見られる場合は、アカウントが無断で使用されているおそれがあります。Googleの公式ヘルプに従い、アクティビティ確認、パスワード変更、2段階認証などを確認してください。出典:Googleアカウントヘルプ「ハッキングまたは不正使用された Google アカウントを保護する」

4. 電話で認証コードを聞かれた場合

電話で「本人確認のため、今届いた番号を教えてください」「こちらで手続きするので、SMSの数字を読み上げてください」「不正利用を止めるために必要です」と言われた場合も危険です。

本物の銀行、カード会社、警察、サポート窓口を名乗っていても、認証コードを聞かれたらいったん切ってください。その後、SMSに書かれた番号ではなく、カード裏面・公式サイト・契約書に書かれた正規の電話番号へ連絡します。

IPAはサポート詐欺の対策として、ネットバンキングのパスワードやワンタイムパスワードを絶対に他人に教えないよう案内しています。出典:IPA「情報セキュリティ安心相談窓口の相談状況[2025年第1四半期]」

5. 入力しただけで、まだ被害がない場合は?

被害が見えていなくても、対応は必要です。認証コードは短時間しか使えないことが多いですが、その短時間でログインや決済が完了している可能性があります。

  • ログイン履歴
  • 利用履歴
  • 決済履歴
  • 送金履歴
  • 登録メールアドレス
  • 登録電話番号
  • ログイン中の端末
  • 通知設定

少しでも不審な点があれば、サービスの公式窓口に連絡してください。

6. やってはいけないこと

  • 偽サイトでもう一度ログインする
  • SMS内リンクからパスワード変更する
  • 相手に「間違えました」と返信する
  • 追加で届いた認証コードを入力する
  • 表示された電話番号に電話する
  • 「キャンセルには別のコードが必要」と言われて従う
  • 家族や知人にそのSMSをそのまま転送する

特に危ないのは、2回目の認証コード入力です。1回目で失敗したように見せかけて、2回目で送金や決済を通そうとする場合があります。

7. 家族で決めておきたいルール

家族ルール

SMSで届いた認証コードは、誰にも教えない。

銀行・カード会社・警察・サポート窓口を名乗っていても、電話で番号を読み上げない。

不安なときは、いったん切って、公式の連絡先にかけ直す。

8. すでにお金が動いた場合

不正決済、送金、出金、電子マネー購入などが起きている場合は、すぐに連絡します。

  • 銀行
  • クレジットカード会社
  • 決済サービス会社
  • 携帯電話会社
  • 警察相談専用電話 #9110
  • 消費者ホットライン 188

被害がありそうな場合:お金が動いた、カード情報を入力した、遠隔操作された場合は、ネット詐欺に遭ったかも?最初にやることまとめも確認してください。

まとめ

認証コードやワンタイムパスワードは、本来アカウントを守るための仕組みです。しかし、偽サイトや電話相手に入力・伝達してしまうと、ログインや支払いの最後の確認に使われてしまうおそれがあります。

大事なのは、認証コードは誰にも教えないこと、SMS内リンクから入力しないこと、入力してしまったら公式アプリから確認してすぐ対応することです。少しでも不安がある場合は、自己判断で放置せず、銀行・カード会社・決済サービスなどの公式窓口に相談してください。

関連記事

参考情報

Recommend
こちらの記事もどうぞ
記事URLをコピーしました