発信者番号通知なりすましとは?検知と安全のヒント
by
最終更新日: 11 読了時間:11分
主なポイント
- 発信者番号の偽装により、個人は自身の実際の電話番号を隠蔽し、あたかも別の発信元からの電話であるかのように見せかけることができます。これにより、複数のドメインやコンプライアンス要件を管理する企業やMSPにとって、重大なリスクが生じます。
- この手法は、テレマーケティング業者や詐欺師が被害者の信頼を得るために悪用されることが一般的ですが、PCI DSS、GDPR、および業界の規制の対象となる組織にとっては、規制面や運用面での課題も生じます。
- 自分の番号からかかってくるなど、なりすまし電話の兆候に気づくことは、身を守る上で非常に重要である。
- 個人情報の共有を控えるなど、積極的な対策を講じることで、なりすまし電話のリスクを軽減することができる。
- 発信者番号偽装の手口を理解することで、個人や企業は詐欺の被害に遭うリスクへの対応や予防をより効果的に行えるようになります。PowerDMARCは、音声およびメールチャネル全体にわたる統合的な可視性を提供し、包括的な保護を実現します。
毎日、何百万人もの人々が、銀行、政府機関、地元企業などを装った電話詐欺やロボコール、詐欺師のターゲットにされています。このような詐欺師が使う手口のひとつが、発信者番号通知によるなりすまし詐欺です。この手口によって、あなたの金銭、プライバシー、心の平穏が危険にさらされることになる。
この記事では、発信者番号通知なりすましとは何か、詐欺師(そして時には合法的な発信者)がなぜそれを使うのか、そして最も重要なのは、どのようにそれを認識し、それから身を守ることができるかについて説明します。
発信者番号通知(スプーフィング)とは?
発信者番号のなりすましは、個人にとっての単なる迷惑にとどまらず、規制産業の組織にとって深刻化する脅威となっています。CISOやIT管理者にとって、なりすまし電話はコンプライアンス違反、データ漏洩、さらには企業の評判を損なう事態を招く恐れがあります。PowerDMARCは、電子メールと音声チャネルの両方でなりすましを検知・報告・防止し、貴社のブランドと顧客を確実に保護します。
詐欺師は、信頼を得たり、着信拒否を回避したり、被害者が電話に出る可能性を高めたりするために、発信者番号偽装を利用します。馴染みの番号や合法的な組織を装うことで、個人情報を盗んだり、詐欺を働いたり、不要なセールスを強要したりします。
一般的なスプーフィング技術には以下のようなものがある:
- 近隣番号のなりすまし – 電話番号の最初の数桁を一致させることで、その電話が地元からのものに見えるようにすること。
- 発信者番号の表示 – 発信者番号に自分の電話番号を表示する。
- なりすまし – 実在する企業や政府機関の電話番号を表示すること。
- 架空または無効な番号 – 実際のネットワーク上では存在し得ない番号を使用すること(例:123-456-7890)。
こうした手口は、あなたの警戒心を緩めるように仕組まれています。だからこそ、発信者番号の偽装は、詐欺師が人々を騙して金銭や 機密情報。
なぜ発信者番号偽装がこれほど蔓延しているのか?
発信者番号偽装が依然として広く行われている理由を理解することは、組織や個人がこうした脅威に対してより適切な対策を講じる上で役立ちます。この問題が根強く残っている背景には、いくつかの要因があります:
技術的なアクセシビリティ
最新のVoIP技術により、発信者番号の偽装は驚くほど簡単かつ低コストで行えるようになりました。攻撃者は、わずかな技術的知識さえあれば、わずか数ドルで偽装ツールやサービスを利用することができます。
規制の不備
STIR/SHAKENなどのプロトコルが導入されつつあるものの、通信事業者や管轄区域によってその適用状況はまちまちです。国際電話の場合、こうした保護措置がまったく適用されないこともよくあります。
経済的インセンティブ
詐欺による利益は、なりすましの低コストやリスクの小ささをはるかに上回る。成功率がわずかであっても、攻撃者にとっては多大な利益をもたらすことになる。
発信者番号表示への信頼
今でも多くの人々が発信者番号表示を、通話の発信元を示す信頼できる指標として信じているため、発信者番号の偽装は効果的なソーシャルエンジニアリングの手法となっている。
発信者番号偽装の一般的な例
実際のなりすまし事例を把握することで、潜在的な脅威を見極めることができます。以下に、最も一般的な例を挙げます:
銀行や金融機関を装った詐欺
- 詐欺師は、あなたの銀行の実際の電話番号を表示します
- アカウントで不審な動きがあるとお申し出ください
- 「本人確認」のために、口座情報や暗証番号を要求する
政府機関を装った詐欺
- IRSや税務当局を名乗り、即時支払いを要求する
- 社会保障局による給付停止の通知
- 逮捕状に関する法執行機関からの警告
テクニカルサポート詐欺
- マイクロソフト、アップル、またはその他のテクノロジー企業からの発信元と表示される電話
- コンピュータウイルスやセキュリティ侵害に関する主張
- 問題を「解決」するためのリモートアクセス依頼
地元企業のなりすまし
- 公益事業会社が供給停止を警告
- 「特別プラン」を提供する保険会社
- 個人情報を求める医療提供者
ネイバー・スプーフィングの例
- あなたの地域番号と市外局番が完全に一致する番号からの着信
- 自分の番号と1桁か2桁しか違わない番号
- 地元風に見せかけた電話番号で、偽の地域サービスを宣伝している
PowerDMARCが、組織による発信者番号やメールのなりすまし対策にどのように役立つか
PowerDMARCは、複数の通信チャネルにわたるなりすまし攻撃に対して包括的な保護を提供します:
- ドメインや通信チャネルを横断したなりすましを監視するための統合ダッシュボード
- コンプライアンス報告の自動化(PCI DSS、GDPR、HIPAA)
- MSPおよび大企業向けマルチテナント管理
- ロールベースのアクセス制御と高度なインシデント対応ワークフロー
- 24時間365日のグローバルサポートと導入支援
- SOC2、ISO、およびGDPRの認証を取得
- AWSおよびAzureのマーケットプレイスで提供中
なぜPowerDMARCなのか?一般的ななりすまし対策ツールとの違いは?
- SOC2、ISO、およびGDPRの認証を取得
- 24時間365日対応のグローバルサポートチーム
- MSPおよび大企業向けのマルチテナント型ダッシュボード
- 高度なレポート機能とコンプライアンス対応の自動化
- AWSおよびAzureのマーケットプレイスで提供中
PowerDMARCで発信者番号通知なりすましのセキュリティを簡素化!
発信者番号通知スプーフィングの仕組み
スプーファーは、企業の通信インフラの中核をなすSIPシグナリングやCNAMデータベースの脆弱性を悪用し、偽の発信者情報を送り込みます。DMARCがメールのなりすましからドメインを保護するように、STIR/SHAKENなどのプロトコルは、音声通話の正当性を大規模に認証・検証するために設計されています。
彼らはそれを通して行う:
- VoIPスプーフィング:
- 概要:VoIPシステムを利用して通話を行い、シグナリングデータに任意の発信者番号を埋め込むこと。
- 仕組み: VoIPプロバイダーは は、「発信元」番号を含む通話確立メッセージ(SIPなど)を送信します。安価な、あるいは悪意のあるVoIPサービスでは、ユーザーがこのフィールドを任意の値に設定できるため、受信側の通信事業者やあなたの電話には、偽装された番号が表示されます。
- なりすましサービス:
- 概要: ユーザーが表示させたい番号を入力できる、Webまたはアプリベースの商用サービス。
- 仕組み: このサービスは被害者に電話をかけ、その通話を攻撃者に転送します。サービスは、受信者に偽の番号が表示されるよう、選択された発信者番号を通話のメタデータに挿入します。
- ネイバー・スプーフィング:
- 概要: 発信元の電話番号の主要な数字(通常は市外局番と最初の3桁または4桁)を、受信者の電話番号と一致させることで、地元からの着信のように見せかけるソーシャルエンジニアリングの手法です。
- 仕組み:攻撃者は、その地域の市外局番と一致する偽の発信者番号を設定します。見慣れた番号に見えるため、相手は電話に出やすくなってしまいます。
- CNAMの操作:
- 概要:一部の電話インターフェースで電話番号の横に表示される発信者名(CNAM)レコードを変更すること(例:単なる電話番号ではなく、「X銀行」と表示されるようにする)。
- 仕組み:多くの通信事業者やCNAMデータベースは、サードパーティの照会サービスに依存しています。攻撃者や悪質なサービスは、偽のCNAMエントリを送信したり、脆弱な検証プロセスを悪用したりすることで、ネットワークがCNAMデータベースに照会した際に、なりすましの番号が信頼できる名前に解決されるように仕向けることができます。
これらの方法は、柔軟なVoIPシグナリング、サードパーティのサービスやデータベース、または人間の信頼(地元のように見える番号や親しみのある名前)を悪用するもので、これがなりすましが効果的な理由であり、発信者番号通知だけでは誰が実際に電話しているのか、もはや信頼できる指標にはならない理由である。
正規の通話となりすまし通話の比較
| 特徴 | 正当な要請 | なりすまし電話 |
|---|---|---|
| 発信者番号表示の一貫性 | 登録済みの事業番号と一致します | 見覚えがあるが、間違った番号が表示される場合があります |
| 緊急度 | プロフェッショナルで落ち着いた口調 | 緊急事態、直ちに対応が必要 |
| 情報のお問い合わせ | 必要な個人情報は最小限です | 事前に機密情報を求める |
| コールバックによる確認 | 公的電話番号への折り返し電話を歓迎します | 電話を切ったり、折り返し電話をかけたりするのを控える |
発信者番号通知なりすましのリスクと危険性
発信者番号の偽装は、PCI DSSやGDPRなどの規制対象となる組織にとって、コンプライアンス上のリスクや運用上のリスクをもたらします。身元が確認されていない音声通信は、データ漏洩、ビジネスメール詐欺、評判の失墜を招く恐れがあり、CISOやIT責任者はこうした脅威を積極的に監視し、報告する必要があります。
企業やマネージド・サービス・プロバイダー(MSP)にとって、発信者番号のなりすましは、規制当局による罰則、インシデントの深刻化、業務の混乱を招く恐れがあります。コンプライアンスを重視する組織は、罰金を回避し、顧客の信頼を守るため、こうしたインシデントを迅速に報告し、是正する必要があります。PowerDMARCは、自動化されたインシデント追跡機能とマルチドメインの可視化により、このプロセスを簡素化します。
ネガティブな経験を軽減する
なりすまし電話番号が不正に利用されたかどうかにかかわらず、お客様から責任を問われることはよくあります。
御社の社名が多数の詐欺事件に関与している場合は、発信者番号偽装を阻止するため、直ちに対策を講じてください。さらに、 VoIP自動発信システム などのツールを活用し、対応ワークフローを効率化するとともに、番号偽装による業務への支障を軽減してください。
資源の浪費
発信者番号を詐称した相手から電話がかかってきた場合、それが正当な電話かどうかを判断するのは難しいものです。そもそも出るべきでない電話に出ることで、時間とリソースを浪費してしまうかもしれません。これは、偽のリードに対処する代わりに、実際の顧客にサービスを提供するために費やされたはずの時間とお金を浪費することになります。
金融詐欺
このサービスを利用して、犯罪者が金銭や個人情報をだまし取るケースが多発しています。銀行や大企業から電話をしているように見せかけ、お金やクレジットカードの情報を渡しても大丈夫だと思わせてしまうのです。銀行やクレジットカード会社などの大企業を名乗る人物との取引には注意が必要です。
顧客への影響
顧客は、信頼している企業から騙されることを嫌います。それは、その企業やあなたのブランド全体に対する信頼に影響するからです。嘘をつかれたと感じると、今後あなたと取引しないという選択をする可能性があり、長期的にあなたの収益に大きな打撃を与える可能性があります。
ITリーダーの皆様へ:なりすましリスクの管理
企業は、発信者番号偽装やメールのなりすましによる規制上の課題や評判のリスクに直面しています。PCI DSS、GDPR、および業界の規制要件への準拠には、迅速な検知、インシデント報告、そして連携のとれた対応が求められます。PowerDMARCの統合プラットフォームは、企業やMSPチーム向けに、マルチドメイン監視、自動化されたコンプライアンスワークフロー、高度なレポート機能を提供します。
クロスチャネル・スプーフィングの脅威
現代の攻撃者は、音声通話だけに留まりません。彼らは複数のチャネルにまたがってなりすまし攻撃を仕掛けています:
- 電話 + メール: 発信元を偽装した電話の後に、同じ組織から送信されたように見せかけたフィッシングメールが届く
- ドメインのなりすまし: 発信者番号のなりすましを模倣した偽のウェブサイト
- SMS連携: 信憑性を高めるため、なりすまし電話に言及したテキストメッセージ
コンプライアンスおよび報告要件
組織は、なりすまし攻撃に対する詳細なインシデントログと対応手順を維持しなければならない。主な要件は以下の通りである:
- 指定された期間内でのインシデントの検知および記録
- データ漏洩の可能性がある場合の顧客への通知手順
- 関係当局への規制報告
- 修復状況の追跡と効果測定
当社の DMARCアナライザー および SPFアナライザー について詳しくご覧ください。
発信者番号通知なりすましを検知する方法
電話番号が偽装されていることは、いくつかの明らかな兆候から察知できる場合があります。偽装された ビジネス用電話番号 が多くの潜在的な被害者へのスパム送信に悪用されている場合、次のような現象が見られる可能性があります:
- 自分が始めたのではないやり取りに対して、電話やメールを受けること。
- 自分の番号からと思われる電話の着信。
- あなたの身元を照会する電話やメッセージ。
- 迷惑行為をやめるよう懇願してくる見知らぬ電話やメール。
発信者番号偽装を防ぐための追加のヒント
このチェックリストを使用して、なりすまし攻撃の兆候を迅速に特定し、適切に対処してください:
✓ 勧誘の電話では、決して個人情報を教えないでください
✓ 携帯電話の着信フィルタリング機能を利用する
✓ 電話を切って公式の番号に掛け直し、発信者の身元を確認してください
✓ お住まいの地域で発生している新たな詐欺の手口について、常に最新情報を入手しましょう
✓ 通信事業者が提供するスパムフィルタリングサービスを有効にする
✓ 不審な電話があった場合は、関係当局に通報してください
✓ 家族や従業員に対し、なりすましのリスクについて周知徹底する
発信者番号偽装を防ぐ方法
なりすましサービスはランダムに番号を生成することが多いため、電話番号スプーファーがあなたの発信者番号を使用するのを防ぐ確実なテクニックはありません。しかし、欺瞞的なソーシャル・エンジニアリングのテクニックを使うことで、詐欺師があなたの番号を使って犯罪を犯すのを防ぐことはできる。
まずはそこから始めるといい:
- マイナンバーの保護
- ネットやコンテストで電話番号を過度に公開しないこと。
- プライバシー設定を見直し、可能な限りデータ共有をオプトアウトする。
- サインアップやビジネスユースには、セカンダリ番号(Google Voice、VoIP)を使用する。
- なりすまし電話から身を守る
- 発信者番号表示だけを鵜呑みにしないでください。 電話番号検索ツール ツールを使って確認するか、あるいは電話を切って公式の番号に直接かけ直してください。
- 着信拒否アプリやキャリアのスパムフィルタリングツールを利用する。
- なりすまし電話は、通信事業者または規制機関(米国ではFTC、カナダではCRTCなど)に報告する。
- 知らない電話はボイスメールに入れ、かけ直す前に選別する。
発信者番号偽装をブロック・通報する方法
なりすまし電話に対処することは、自分自身や他の人を守ることに繋がります。具体的な手順は以下の通りです:
なりすまし番号の着信拒否
電話機能の利用
- iPhone: 「最近の通話」を開く → 番号の横にある「i」をタップ → 「この発信者をブロック」
- Android: 「電話」アプリを開く → 「最近かけた電話」 → 番号をタップ → 「ブロック/スパムとして報告」
- 固定電話: 通話ブロックサービスについては、ご利用の通信事業者にお問い合わせください
キャリアツール
- Verizon: 通話フィルタアプリ
- AT&T: ActiveArmor セキュリティスイート
- T-Mobile: 「Scam Shield」保護機能
- スプリント: プレミアム発信者番号表示
サードパーティ製アプリ
- Truecaller
- やあ
- ロボキラー
- ノモロボ
なりすまし電話の通報
米国
- FTC: reportfraud.ftc.gov
- FCC: consumercomplaints.fcc.gov
- 迷惑電話拒否登録: donotcall.gov
カナダ
- CRTC: crtc.gc.ca/eng/phone/
- カナダ詐欺対策センター: 1-888-495-8501
報告書に記載すべき情報
- 通話の日時
- 偽装された番号が表示される
- 会話の内容
- 要求される個人情報
- 発信者が所属していると主張した組織
電話番号がなりすまされた場合の対処法
発信者番号通知によるなりすましは自分でコントロールできないかもしれませんが、どのように対応するかは自分でコントロールできるものではありません。詐欺師があなたの電話番号を悪用しているにせよ、偽の電話であなたを標的にしているにせよ、あなた自身を守り、被害を抑え、当局がなりすましを取り締まるのを助けるために、あなたが取ることのできる実証済みの手段があります。
あなたの番号がなりすまされている場合
- 連絡先の方々に通知してください: 友人、家族、顧客に、あなたの電話番号が不正に使用されていることを伝え、注意を促してください。
- 携帯電話会社にお問い合わせください: なりすまし行為を報告し、調査と対策のアドバイスを受けてください。
- 当局への通報: FCC(米国)、CRTC(カナダ)、またはお住まいの地域の通信規制当局などの機関に苦情を申し立ててください。
- 事態の悪化に注意してください: 関連している可能性のある、不審なアカウントの活動やなりすまし被害の試みに注意してください。
発信者番号偽装アプリとウェブサイト:知っておくべきこと
なりすましを可能にする手法を理解することで、こうした脅威を認識し、防御することができるようになります。
一般的ななりすましサービス
さまざまなアプリやウェブサイトが、発信者番号偽装機能を提供しています:
- モバイルアプリ: 「Fake Call」「Spoof Call」「Caller ID Changer」などの名称で、各アプリストアから入手可能です
- Webサービス: ユーザーが任意の数字を入力して表示できるオンラインプラットフォーム
- VoIPサービス: 一部のVoIPプロバイダーでは、発信者番号のカスタマイズが可能です
法的意義
なりすまし技術そのものは違法ではありませんが、それを詐欺目的で使用することは違法です:
- 合法的な利用目的: プライバシーの保護、適切な開示を伴う業務上の目的、法執行機関による捜査
- 違法な利用: 詐欺、嫌がらせ、政府機関へのなりすまし、金融詐欺
- 罰則: 違反1件につき最大1万ドルの罰金、詐欺罪による刑事告発の可能性
スプーフィングサービスの利用に伴うリスク
- 違法な目的で使用した場合の法的責任
- 信頼できないサービスプロバイダーによるプライバシー上のリスク
- 悪意のあるアプリによるマルウェア感染やデータ盗難の恐れ
- なりすまし問題全体への一因となっている
まとめ
これで、発信者番号通知なりすましとは何か、そしてなぜそれが深刻な脅威なのかが明らかになったはずだ。その仕組みを理解し、対応策を知ることで、個人のアイデンティティと仕事上の評判の両方をよりよく守ることができます。疑わしい電話には出ず、安全でないと思われる番号は着信拒否にしましょう。
なりすましは電話だけではありません。攻撃者は電子メール、ドメイン、その他の通信チャネルでも同様の手口を使います。防御を強化するために、PowerDMARCのツールがどのようになりすましや関連する脅威から組織を守るのに役立つかを調べてみてください。
よくあるご質問
発信者番号偽装の具体例にはどのようなものがありますか?
よくある手口として、詐欺師があなたの銀行の実際の電話番号を発信者番号として表示させ、あなたの口座で不審な動きがあるとして、PINや口座情報を聞き出そうとするケースがあります。銀行の実際の番号が表示されているため、一見すると正当な電話のように見えますが、実際には詐欺師からの電話です。
発信者番号の偽装は違法ですか?
発信者番号の偽装自体は違法ではありませんが、詐欺目的でこれを利用することは違法です。合法的な利用例としては、プライバシー保護や、適切な開示を伴う正当なビジネス目的などが挙げられます。しかし、詐欺や嫌がらせ、あるいは政府機関を装う目的で偽装を利用した場合、違反1件につき最高1万ドルの罰金が科せられるほか、刑事責任を問われる可能性があります。
発信元が偽装されているかどうか、どうすればわかりますか?
なりすまし電話の兆候としては、次のようなものがあります:即座の対応を迫る強引な口調、事前に機密情報の提供を求める要求、自分の電話番号からの着信、見覚えのない地元の電話番号からの着信、電話を切ったり折り返し電話をかけたりすることを躊躇させるような話し方などです。必ず電話を切り、その組織の公式番号に直接電話をかけて確認してください。
発信者番号通知は追跡可能か?
通常は違います。なりすましは本当の番号を隠すが、警察や通信事業者は、深く調査することで通話を追跡できることがある。
なりすましの番号にかけ直すとどうなるか?
なりすまし電話とは何の関係もない、その番号の本当の持ち主につながる可能性が高い。
なりすまし電話番号をブロックするとどうなりますか?
その番号だけをブロックする。なりすましは常に番号を変えるので、今後のなりすまし電話を止めることはできない。
スプーフィングの3つのタイプとは?
電話番号のなりすまし、メールのなりすまし、 SMSのなりすまし、 ドメインのなりすまし、および GPSスプーフィングが最も一般的な形態です。
ドメインとメールセキュリティのエキスパートPowerDMARC
AhonaはPowerDMARCのマーケティングマネージャーで、サイバーセキュリティのトピックについて5年以上の執筆経験があり、ドメインと電子メールのセキュリティを専門としている。ジャーナリズムとコミュニケーションの卒業後学位を取得し、2019年からセキュリティ分野でキャリアを固めている。
最新記事 by Ahona Rudra(全て見る)
- Office 365 フィッシング対策ポリシー:設定方法 - 2026年6月3日
- AIエージェントのセキュリティ:リスク、ベストプラクティス、およびメール認証 - 2026年6月2日
- PowerDMARCがHaloPSAと連携を開始 - 2026年6月1日
