「認証コードを教えて」と言われたら？SMS・ワンタイムパスワード詐欺の対処法

🛡️ この記事について：「情報処理安全確保支援士」（IPA認定 国家資格）保有者が執筆・一次情報を確認しています。参照先は警察庁・IPA・消費者庁など公的情報を優先。 → 編集方針・運営者情報

銀行サポートを名乗る人から電話で「本人確認のため、いまSMSに届いた番号を教えてください」って言われて…教えていいの？

ダメ、絶対に教えないで。認証コード（ワンタイムパスワード）は「本人確認の番号」じゃなくて、相手があなたのアカウントに入るための“最後の鍵”なんだ。警察・銀行・携帯会社・サポートを名乗っても、本物はこの番号を聞かないよ。

「本人確認のため、いま届いた番号を教えてください」「認証のため、この6桁を入力してください」——電話・SMS・LINE・偽サイトでこう言われることがあります。一見、本人確認の手続きに見えます。でも、SMSやアプリに届く認証コード（ワンタイムパスワード）は、相手があなたのアカウントや口座に入るための“最後の鍵”になることがあります。

金融庁と警察庁は、銀行をかたるSMSなどから偽のログインサイトへ誘導し、ID・パスワードに加えてワンタイムパスワードまで盗んで不正送金する手口に注意を呼びかけています。最近は、入力した瞬間に相手が本物のサイトへログインする「リアルタイムフィッシング」も問題になっており、2023年にはフィッシングによるネットバンキングの不正送金被害が過去最多級になりました。この記事では、認証コードを渡してはいけない理由、よくある誘導、そして教えて／入力してしまった場合の初動をまとめます。

🔑 まず結論｜認証コードは誰にも教えない

結論はシンプルです。SMSやアプリに届いた認証コード・ワンタイムパスワードは、人に教えない。電話やチャットで読み上げない、スクリーンショットを送らない、相手に案内されたリンクや画面には入力しない。入力していいのは、自分で開いた公式アプリ・公式サイトだけです。これだけで、多くの被害は防げます。

「警察です」「銀行です」「携帯会社です」「サポートです」「ご家族の代理です」——どんな相手でも同じです。本物の事業者が、電話・LINE・チャットであなたの認証コードを読み上げさせたり、スクショで送らせたりすることはありません。本物の事業者でも、あなたが自分で開いた公式アプリ・公式サイト上で認証コードの入力を求めることはありますが、その番号を「人に伝えさせる」ことはない、と覚えておきましょう。

📲 認証コードとは何か

認証コード（ワンタイムパスワード、OTP）は、ログインやパスワード変更、振込などの最終確認に使う、使い捨ての番号です。パスワードに加えてこの番号を求める仕組みを「多要素認証（二段階認証）」と呼び、本来はあなたを守るためのものです。

フィッシング対策協議会も、ワンタイムパスワードはログイン・重要情報の変更・振込など複数の目的で使われるため、「いま自分は何のためのコードを入力しようとしているのか」を確認できることが重要だと整理しています。届いたSMSの本文（「ログイン」「振込」など）をよく読む習慣が、被害を防ぎます。

🎯 なぜ詐欺師は認証コードを欲しがるのか

詐欺の多くは、最終的に認証コードを取ろうとします。理由は明確で、これが“最後の鍵”だからです。詐欺師があなたのID・パスワードを既に入手していても、多要素認証があれば、最後の認証コードがないとログインや送金ができません。だから、もっともらしい理由をつけて、あなたに番号を読ませようとします。

さらに最近は「リアルタイムフィッシング」が増えています。あなたが偽サイトに入力した認証コードを、相手がその瞬間に本物のサイトへ入力してログイン・送金する手口です。金融庁・警察庁によると、こうしたフィッシングでネットバンキングの不正送金被害は2023年に過去最多級となりました。だからこそ、「相手に案内されて入力させられること自体」を止めるのが最大の防御です。

🎭 よくある誘導パターン

次のように言われたら、認証コード詐欺を疑ってください。

• 「本人確認のため、いま届いた番号を教えてください」
• 「不正利用を止めるため、認証コードを入力してください」
• 「当選／還付の手続きに、SMSの番号が必要です」
• 「アカウントがロックされました。解除コードを教えてください」
• 「LINEを引き継ぐので、届いた番号を教えて」
• 「サポートが代理で設定するので、コードを読み上げて」

電話・SMS・LINE・偽サイト・サポート詐欺の遠隔操作中など、入口はさまざまですが、「いま届いた番号を教えて／入力して」が出たら、いったん止まるのが鉄則です。

入口の手口を全部すり抜けられても、ここで“鍵”を渡さなければ、アカウントは守れることが多いんだ。

🆘 教えて／入力してしまった場合の初動

慌てず、すぐ次の順番で対応します。スピードが被害を左右します。

1. 対象のサービス（銀行・SNS・通販など）のパスワードを、すぐ変更する
2. ログイン履歴・登録情報（メール・電話番号）の変更履歴を確認する
3. 銀行・カード・決済は、利用明細と送金履歴を確認する
4. 不審な取引やログインがあれば、すぐ各サービス・金融機関へ連絡する
5. 同じパスワードを使う他サービスも変更する
6. 多要素認証やパスキーを設定し直す
7. 警察や#9110、消費者ホットライン188へ相談する

🏦 ケース別の連絡先・対応

銀行・証券・スマホ決済

すぐ金融機関に連絡し、口座凍結や不正送金の有無を確認します（→ ネット銀行・証券口座が乗っ取られる手口とは？）。

クレジットカード

カード会社へ連絡し、利用停止・再発行を相談します（→ クレジットカード情報を入力してしまったら？）。

LINE

乗っ取りの恐れがあります。別端末からログインを確認し、パスワード変更・連携解除を。友だちにも「私を名乗る不審な連絡に注意して」と知らせましょう。

Google・Apple・Amazon・Microsoftなど

アカウントのパスワードを変更し、サインイン中の端末を確認して不審なものはサインアウト、二要素認証を再設定します。

携帯会社（キャリア）

SIMの不正再発行（SIMスワップ）などの恐れがあります。キャリアに連絡し、契約や設定が勝手に変えられていないか確認しましょう。

📊 「入力しただけ」「電話で読んだ」「スクショを送った」の危険度

いずれも危険ですが、考え方はこうです。

• 偽サイトに入力した：相手が即ログインできる可能性が高く、危険度が高い。すぐパスワード変更と履歴確認を。
• 電話で読み上げた：相手が手入力でログインを試みる。やはり危険。すぐ同じ対応を。
• スクショを送った：番号が相手に渡る。コードには有効期限があるが、油断せず同じ対応を。

共通して大事なのは、「渡してしまった」と気づいたら、すぐパスワードを変え、金融機関に連絡することです。

👪 家族で決めておくルール

❓ よくある質問

本物の銀行やサポートが、認証コードを聞くことはありますか？

ありません。電話やチャットで認証コード・ワンタイムパスワードを聞かれたら、詐欺を疑ってください。

認証コードを入力しただけで、パスワードは知られていない場合は？

偽サイトに認証コードを入力した場合、同じ画面でID・パスワードも入力していることが多いです。パスワードの変更、ログイン履歴の確認、登録メール・電話番号が勝手に変更されていないかの確認をしてください。

コードには有効期限があるから大丈夫では？

リアルタイムフィッシングでは、入力した直後に使われます。期限に頼らず、すぐに対応してください。

二段階認証をしていれば安全ですか？

大きな助けになりますが、OTPを渡すと突破されます。よりフィッシングに強い「パスキー」の利用も検討しましょう。

💡 まとめ：最後の“鍵”である認証コードを渡さない

詐欺の入口（電話・SMS・偽警告・遠隔操作）をすり抜けられても、最後の認証コードさえ渡さなければ、アカウントや口座は守れることが多いです。認証コードは、相手があなたのアカウントに入るための“最後の鍵”だからです。

「いま届いた番号を教えて／入力して」と言われたら、いったん止まる。本物は、この番号を聞きません。もし渡してしまっても、すぐパスワードを変え、金融機関に連絡すれば、被害を小さくできる可能性があります。

⚠️ 注意: 詐欺の手口や相談窓口は変わります。最新情報は金融庁・警察庁・フィッシング対策協議会・利用中の各サービスの公式発表をご確認ください。事件・事故など緊急時は110番です。

💬 この記事が役に立ったら、ぜひ家族や高齢のご家族にもシェアしてください。「認証コードは誰にも教えない」を共有しておくだけで、被害はぐっと減らせます。