サイバーセキュリティーサービスの比較・資料請求サイト|中小企業向けのセキュリティ対策を考える「サイバーセキュリティ」に関する情報メディア。日本の中小企業の情報を守るため、最新のセミナー・人材育成・製品・中小企業向けのセキュリティ対策を考えるサイバーセキュリティ情報サイトです。

スキミングとは?その仕組みや手口、セキュリティ対策について徹底解説



最近ではキャッシュレス決済などが普及していますが、クレジットカードによる決済を使っている人もいることでしょう。そんなクレジットカードに関する犯罪の中でも、急増してきているのが「スキミング」という犯罪です。ますます巧妙化するスキミングの手口に、気づかないうちに被害に遭っていたというケースもあります。

今回はスキミングの仕組みや手口、そして有効なセキュリティ対策について徹底解説します。

スキミングとは

スキミングとはクレジットカードに書き込まれている磁気ストライプを読み取り、同じ情報を持つ「偽造カード(クローンカード)」を作成し不正利用する犯罪のことです。

盗んだ情報を別のクレジットカードに記録し偽造カードとして使うケースや、カードそのものを精巧に偽造して偽造カードとして使うこともあります。クレジットカードとして使うだけでなく、ATMのキャッシング機能を利用されることで、不正に現金が引き出されることもあります。

クレジットカードそのものが盗まれるのではなく、あくまでも情報だけが気づかないうちに盗まれてしまうため、被害者が被害に遭ったことに気づきにくく、月末に届いた請求書の金額を見て、初めて被害に遭ったことを知るケースがほとんどです。

スキミングの仕組み

スキミングは、クレジットカードそのものを盗むのではなく、「スキマー」と呼ばれる機器を使って、クレジットカードの磁気ストライプに記録されている情報のみを読み取ります。

スキミングで読み取れるデータはカード番号や有効期限など、カードに内蔵されている情報のみです。例えば暗証番号はスキミングで読み取ることはできません。しかし、クレジットカードを利用する場合、暗証番号が不要でサインのみで決済できる店舗もあります。そのような店舗では暗証番号を知らなくても、ある程度の不正利用が可能となってしまいます。

スキミングの手口

クレジットカードは接触型カードに分類され、情報を読み取るためにはカードに仕組まれたICチップや磁気データを直接端末に接触させる必要があります。これはスキミングにおいても同様であり、スキマーを使う際には直接カードを読み取ることができる環境が必要です。

このような制約があるため、スキミングの具体的な手口としては、主に以下の3つがあります。

クレジット決済時にスキミングされる

レストランやホテルなどクレジットカードで決済が行われる店舗では、決済用のカード読み取り端末にスキマーが仕込まれていることがあります。

これはレストランやホテルが犯罪に加担しているわけではく、多くの場合は店舗側のスタッフもスキマーが仕込まれていることを把握していないのがほとんどです。知らない間にスキマーが仕込まれており、不正に読み取られた情報は、無線通信を使って仕掛けた人間へ送信されるようになっています。

ATM利用時にスキミングされる

銀行やコンビニに設置されているATMもスキミングが仕込まれやすい場所の一つです。例えばキャシュカード兼用クレジットカードやキャッシュ機能を使っている場合は、AMTを利用する頻度は高くなります。それに合わせるかのようにATMでのスキミングの手口も巧妙になってきています。

攻撃者はATM本体のカード差込口に直接スキマーを仕掛け、さらに暗証番号を読み取るため隠しカメラを設置するなど、非常に悪質な手口でスキミングを行うケースがあります。スキマーも隠しカメラも違和感なく仕込まれることが多く、知らない人が判別するのは非常に困難です。実際に、コンビニのATMにて同様の手口でスキミングの被害が発生しています。

空き巣など盗難によるスキミング

住宅への空き巣や車上荒らし、ゴルフ場やスポーツクラブなどのロッカーを荒らす手口でスキミングが行われることもあります。これはクレジットカードの持ち主が不在の状態で、スキミングをする手口です。

初めからスキミングが目的の攻撃者は、貴重品や財布の中の現金には手を付けずに、クレジットカードの情報のみを盗むことを目的としています。そのため被害者は侵入されたり、物品を物色されたりしたことに気づかないこともあります。つまり被害者の知らない間にクレジットカードの情報だけが盗まれてしまうのです。

非接触型カードによるスキミング

非接触型カードに対するスキミングもあります。電子マネーなど非接触型のカードは、直接端末に接触させなくても、上にかざすだけで支払いができます。これはスキミングによるデータ読み取り時でも同様です。

つまり接触していない状態で、情報を盗むことができるわけです。例えば満員電車などの車内で、携帯型の小型スキマーを悪用してスキミングを行う攻撃者も存在します。クレジットカードの中には、電子カード機能が搭載されているものもあるので、非接触型スキミングにも注意しなくてはなりません。

スキミングに有効なセキュリティ対策

スキミングに有効なセキュリティ対策4つを紹介します。

ICカードタイプに変更する

ICカードとは磁気ストライプではなくICチップにデータが保存されているカードのことです。ICチップ内に記録されている情報は暗号化されており、スキマーによる情報の読み取りを困難にします。そのためスキミング被害に遭いにくいとされています。

最近は生体認証と組み合わせたICカードも登場しています。生体認証とは利用者の指紋や静脈などを使って認証する方法のことで、スキミングの被害に遭う可能性を大幅に減らすことができます。

暗証番号入力時に隠す

ATMなどで暗証番号を入力する際に、盗み見されないように、手元を隠すなどの対策も有効です。たとえATMにスキマーが仕込まれていても、暗証番号はカード内に保持されている情報ではないので、スキマーから読み取られることはありません。

暗証番号をしっかりと隠しておくことで、スキミングの被害にあう可能性を減らすことが可能です。しかしクレジットカードの場合には、そもそも暗証番号を必要としないこともあります。その点については注意が必要でしょう。

クレジットカードを第三者へ預けない

レストンランなどでの会計時に、店員にクレジットカードを預けて会計をすることは控えた方がよいでしょう。店員が悪意をもって、クレジットカードの情報を盗み見することも考えられます。特に海外でクレジットカード決済をする時には注意が必要です。

盗難補償をつけておく

スキミングの被害に遭ってしまった時のために、盗難補償の付帯されたクレジットカードを選択することも有効な対策です。もしスキミングの被害にあっても全額補償してくれます。

まとめ

スキミングは悪質な犯罪行為ですが、被害に遭わないために個人ができる対策もいくつかあります。しかしながら100%完全に対応できるものではありません。もしスキミングの被害に遭ったことがわかったら、速やかにクレジットカード会社や金融機関に連絡して対処してもらいましょう。

また使用しているクレジットカードによって、利用できる補償やサービスは異なります。いざという時に慌てないために、サポート体制がどのようになっているのか、把握しておくことが重要です。



  • LINEで送る

書籍「情報漏洩対策のキホン」プレゼント


当サイトへの会員登録で、下記内容の書籍「情報漏洩対策のキホン」3000円相当PDFプレゼント
(実際にAmazonで売られている書籍のPDF版を無料プレゼント:中小企業向け大企業向け

下記は中小企業向けの目次になります。

  1. 1.はじめに

  2. 2.あなたの会社の情報が漏洩したら?

  3. 3.正しく恐れるべき脅威トップ5を事例付きで
    •  3-1.ランサムウェアによる被害
    •  3-2.標的型攻撃による機密情報の窃取
    •  3-3.テレワーク等のニューノーマルな働き方を狙った攻撃
    •  3-4.サプライチェーンの弱点を悪用した攻撃
    •  3-5.ビジネスメール詐欺による金銭被害
    •  3-6.内部不正による情報漏洩

  4. 4.情報漏洩事件・被害事例一覧

  5. 5.高度化するサイバー犯罪
    •  5-1.ランサムウェア✕標的型攻撃のあわせ技
    •  5-2.大人数で・じっくりと・大規模に攻める
    •  5-3.境界の曖昧化 内と外の概念が崩壊

  6. 6.中小企業がITセキュリティ対策としてできること
    •  6-1.経営層必読!まず行うべき組織的対策
    •  6-2.構想を具体化する技術的対策
    •  6-3.人的対策およびノウハウ・知的対策

  7. 7.サイバーセキュリティ知っ得用語集

無料でここまでわかります!
ぜひ下記より会員登録をして無料ダウンロードしてみてはいかがでしょうか?

無料会員登録はこちら

SNSでもご購読できます。