発信者番号偽装 (Caller ID Spoofing) とは、実際の発信元とは異なる電話番号を着信側に表示させる技術です。VoIP の SIP プロトコルでは、発信者番号を示す From ヘッダーを自由に設定できるため、技術的には容易に実現できます。企業が社員の個人携帯から代表番号を表示させるなど正当な用途もありますが、振り込め詐欺やビッシングに悪用されるケースが深刻な社会問題となっています。
詐欺での悪用パターンは巧妙です。銀行のカスタマーセンター番号を偽装して「お客様の口座に不正アクセスがありました」と告げ、暗証番号やワンタイムパスワードを聞き出す手口。警察の番号を偽装して「あなたの口座が犯罪に使われている」と脅し、指定口座への送金を指示する手口。税務署の番号を偽装して「還付金があります」と ATM 操作を誘導する手口。いずれも、発信者番号通知に表示された番号が正しく見えるため、被害者は公的機関からの正規の電話だと信じてしまいます。
番号偽装を見破るのは、現状では困難です。着信側の端末には偽装された番号がそのまま表示され、正規の番号との区別がつきません。唯一の確実な防御策は、電話の内容だけで判断せず、一度切ってから公式の連絡先に自分からかけ直すことです。銀行や官公庁が電話で暗証番号やパスワードを聞くことは絶対にないため、そのような要求があった時点で詐欺と判断できます。
国際的な対策として、アメリカでは STIR/SHAKEN プロトコルの導入が 2021 年から大手キャリアに義務化されています。通信事業者が発信者番号にデジタル署名を付与し、着信側の事業者が署名を検証することで、番号の正当性を判定する仕組みです。検証結果は「Verified (検証済み)」「Partially Verified (部分検証)」「Not Verified (未検証)」の 3 段階で表示されます。日本でも総務省が同様の対策を検討中です。発信者番号偽装のリスクで最新の手口と対策を確認できます。