【徹底解説】スキミングを防止するために知っておきたい最新手口と対策事例
欧米ではカードなしでは生活できないほどの「カード社会」。日本もかつては現金社会でしたが、徐々にカード社会へと移行してきています。今や若い方も年配の方も、キャッシュカードを使って預金を引き出し、クレジットカードを使って買い物をしています。
カードのメリットは、現金を持ち歩かずに現金の管理や支払いを行うことが出来るという点です。しかし、デメリットも持ち合わせています。
近年、様々な手口で知らないうちにカード情報を抜き取られて、不正に偽造されたり、悪用されるという被害が多発しています。クレジットカードだけでも、2014年の不正使用による被害額は106億円に上っています。(参考:一般社団法人日本クレジット協会調査)
カードの不正利用被害に遭ってしまった場合、直接的なお金への影響がありますので、“セキュリティーに100%はない” という危機感を持って自分の身は自分で守ることがとても重要になります。そして、防止策を自ら考えるためにも、不正利用の最新手口を詳しく理解することが大切です。
そこで今回は、カードを悪用される上で最も多い手口である「スキミング」について解説し、その対策方法についてもご紹介したいと思います。
スキミングの防止策を考える上で知っておきたいこと
スキミングとは?
スキミングとは、“スキマー” と呼ばれる、カード情報を読み取る特殊な装置で他人のクレジットカードやキャッシュカードから情報を抜き取り、それを基にして作った偽造カードで現金を不正に引き出すなどの行為を指します。
▲ スキマーの一例(警察庁の警察白書より)
スキマーは非常に小型でどこにでも仕掛けることができるため、巧妙に仕掛けられたスキマーを見つけることは困難と言われています。数十年前は一般人がスキマーを入手することは困難でしたが、現在は秋葉原に行けば普通に売られていて、数千円も出せば買うことも可能です。
スキミングに狙われるカードの分類について
スキミングの手口と対策は、カードの種類によって変わりますので、具体的な手口を説明する前に、まずはスキミングに狙われるカードの分類について解説します。
まず、カードは大きく「接触型」と「非接触型」の2つに分類されます。
接触型カードとは
接触型カードとは、カードにICモジュールが組み込まれていて、読み取り装置とICモジュールを直接接触させて、情報の読み書きを行う方式です。
確実に通信を行うことができるメリットがあるため、セキュリティが求められる分野で使われています。主にクレジットカードやキャッシュカード、ETCカードなどが該当します。
非接触型カードとは
非接触型カードとは、カードにアンテナが内蔵されていて、読み取り装置から発生している電磁波を利用して無線通信を行うことで、直接接触させることなく情報の読み書きを行う方式です。例えば、PASMO や Edy などがこれにあたります。
スキミングの手口とは?
スキマーを使ったカード情報の不正抜き取りは、どのように行われているのでしょうか。カードの分類ごとに具体的なスキミングの手口について見ていきましょう。
〈接触型カードの場合〉
接触型カードから情報を抜き取るためには、カードとスキマーを直接接触させる必要があります。
そのため、お店のクレジット決済を処理する端末にスキマーを仕掛けたり、ATM端末のカードリーダーの部分にスキマーを仕掛けることで情報を抜き取ります。
スキマーを仕掛けたカードリーダーにカードを通すことで、スキマーに情報が溜まっていきます。溜まった情報は、後日スキマー自体を回収するか、回収することなく無線で情報を飛ばすことで悪用者の手に渡るのです。
〈非接触型カード場合〉
非接触型カードは、カードとスキマーを接触させなくても、カードに近づけるだけで情報を読み取ることが可能です。そのため、接触型よりも容易に情報を読み取られるリスクがあります。
スキマーのサイズも、たばこサイズほどとかなり小型化されていて、満員電車やエレベータの中など、人が密集した場所でスキマーを使われると為す術がありません。
スキミングの被害事例
スキミングの手口も年々、巧妙になってきています。
一昔前はスキマーをATMの側面などに設置して、カード保有者に対して偽装したスキマーにもカードを通すように促す文面を貼り付けるような手口が主流でした。ただ、先ほども少し触れように、最近はATMの正規のカード挿入口に直接スキマーを設置するという手口が広まっています。
2013年に発生したセブン銀行でのスキミング被害もこの手口でした。巧妙に偽装したスキマーを正規のカード挿入口にはめ込んで、一見しただけではスキマーが設置されているかどうかが分からなかったのです。
(お知らせ | セブン銀行より)
セブン銀行での被害は、スキマーだけではなく、暗証番号を盗み取るために、ATMの側面にカメラが内蔵された箱も設置されていました。
「ここまでやるのか!」と思われた方もいるかもしれませんが、これが現実なのです。
個人で出来るスキミング対策
まず皆様に認識しておいて欲しいのは、“スキミングの被害を100%防ぐ方法はない” ということです。ただ、被害に遭う確率を下げることはできます。
ここでは、「スキミングされるリスクを下げる対策」と「スキミングされたとしても被害を最小限に抑える対策」の2つに分けて、カードのタイプごとにご紹介します。
スキミングされるリスクを下げる対策
〈接触式カードの場合〉
● 暗証番号をしっかり管理する
基本中の基本ですが、暗証番号は第三者に推測されない番号にしておきましょう。
さらに定期的に変更するようにしておけば、万が一、暗証番号が盗まれたとしても不正利用を防ぐ鍵になるかもしれません。同じ暗証番号をずっと使い続けないだけでも、1つのスキミング対策になるのです。
また暗証番号を入力する際は、盗み見られることがないようにも注意しましょう。キャッシュカードの場合は、仮にスキマーが仕込まれていてカード情報(口座番号など)を抜き取られたとしても、「暗証番号」は抜き取られません。(カード内に保持されている情報ではないため)
暗証番号を入力する際には、普段から手元を隠す習慣をつけるようにしましょう。
ただしクレジットカードの場合は、暗証番号なくとも不正利用できることがあるので注意が必要です。そもそもスキミングされないよう、次の点に気をつけましょう。
● カードを第三者に預けて会計をしない
お店での会計時に店員にクレジットカードを預けて会計をすることはしないようにしましょう。
店員が悪意を持ってこっそりカードの情報を盗み取ることも考えられます。特に海外での利用時には注意が必要です。
● カードをICカードへ変更する
ICカードとは、IC(集積回路)チップを組み込んだカードのこと。ICカードは従来の磁気ストライプではなく、内蔵されたICチップ内にデータが保持されています。ICチップ内に保存されているデータは暗号化されているため、スキミング被害に遭いづらいといわれています。
最近は「ICカード+生体認証機能」が付いたカードも出てきました。生体認証とは、指紋や声紋、網膜、静脈などを使って本人確認をするシステムで、スキミングの可能性を大幅に低減することができます。
ただし、ICカード対応のATMや店舗はそれほど多くはありませんので、変更する際には注意が必要です。
● カードを利用する場所に気を使う
利用者の多い銀行店舗内のATMは安全性が高いですが、ショッピングモールやコンビニの小さなATMは犯罪リスクが高まります。できるだけ安全性の高いATMを利用するなど、カードを利用する場所に気を使いましょう。
またATMに不振な機械が取り付けられていないか、毎回確認することも大切です。スキマーは見分けがつかないように設置されている場合もあるので、すべてを見つけられないかもしれませんが、いつもと異なる怪しい機器が置かれている場合は、利用を避けた方が良いでしょう。
〈非接触式カードの場合〉
● スキミング防止グッズを利用する
非接触型カードは、カードがカバンの中に入っていても、スキマーをカバンに近づけるだけで情報が読み取られてしまう危険性があります。そのため、さまざまな対策グッズが開発されているのです。
たとえば、電波の送受信を妨害する財布・衣服・カードケースや、ICカードに重ねるだけで非接触型のスキミングを防止するカードなど、多くのグッズが手頃な価格で販売されていますので検討してみてください。
▲ MOTEXがつくるオリジナルスキミング防止カード
被害を最小限に抑える対策
● 明細は定期的にチェックする
一昔前は、スキミングでカード情報を抜き取られると、全額を抜かれることが一般的でしたが、最近ではバレないように定期的に少額ずつ抜き取る手口が増えてきています。そのため、お金を抜き取られていることに気付かない場合が多く、いつの間にか総額で相当な額が抜き取られるというわけです。
そうならないためにも、毎月の明細は定期的にチェックして、身に覚えのない項目があったときは、すぐに金融機関へ必ず確認するようにしましょう。
● 口座を分散させる
自分の現金資産を1つの口座に集約させることはやめましょう。
複数の口座に分散させることで、スキミングの被害に遭ったとしても被害額を抑えることができます。
● カード盗難保険を活用する
スキミング被害に遭ってしまった場合、盗難保険を活用してみてください。国内発行のクレジットカードであれば、ほぼ盗難保険が付いています。スキミング犯罪に巻き込まれたとしても、被害を負担しなくて済む場合もありますよ。
カード会社ごとに規約は異なりますが、一般的に被害に遭ってから決められた期間内に連絡すれば保険が適用されます。だからこそ、上述したように、定期的に利用明細書をチェックしておくことが重要です。少なくとも1ヶ月ごとに明細内容を確かめるようにしましょう。
まとめ
今回は、スキミングの手口や対応策などについて幅広く解説しました。
そもそも、スキミング犯罪が減らないのはなぜでしょうか。ATMにスキマーやカメラを取り付けるだけでも手間ですし、捕まるリスクもあります。それでも犯罪が後を絶たないのは、成功すれば大きな利益になるからこそなのです。
スキミング犯罪を撲滅するには、金融機関や国の対策と併せて、我々自身もスキミング対策を行って、スキミングの成功確率を下げていくことが最善の道だと思います。「まさか自分は被害には遭わないだろう」と思われている方もいるかもしれませんが、その過信がスキミング被害を招いてしまうのかもしれません。
ご紹介した対策のすべてを実施するのは難しいかもしれませんが、できるところからしっかりと心がけるようにしてみましょう。
大手Nierでネットワークエンジニアとして最前線で戦う傍ら、個人運営のサイト「ネットワークエンジニアを目指して」を運営し、読者を「ネットワークトラブルに恐れることなく立ち向かえるネットワークエンジニア」へと導くことを信条に、ネットワーク技術の解説と自身のノウハウを広めている。著書に「見てわかるTCP/IP」など。
Twitter:ibook