近年急増中の「スキミング被害」──あなたは大丈夫？

スキミングとは？スキミング犯罪は、どういう仕組みで行われる？

「スキミング」とは、カードの磁気ストライプからそうした個人情報を不正に盗み取ることをいいます。
その際に使われるのが、「スキマー」という装置です。

スキマーを使って、クレジットカードやキャッシュカードに記録されている個人情報を盗み取るのです。
スキマーはどこにでも仕掛けられる小型のものが多く、「接触型」と上記図で示したような「非接触型」に大別されます。

「接触型」はカードリーダーなどにスキマーを仕掛けておき、カードを直接接触させることで個人情報を盗み出します。

近年は仕掛けておいたスキマーを回収することなく、無線で情報を収集するケースが増えています。
「非接触型」は、スキマーをクレジットカードやキャッシュカードに近づけるだけで個人情報を読み取れる装置です。

電車やエレベーターなど人が密集した場所で使われることが多く、接触型より簡単に個人情報を盗み出せます。
スキミング被害は、こうした方法で広がっているのです。

スキミング犯罪の流れ

クレジットカードやキャッシュカードの磁気ストライプには、会員番号や口座番号といった個人情報が記録されています。

スキミング犯罪ではクレジットカードやキャッシュカードから盗み出された個人情報をもとに偽造カードを造ったり、オンラインショッピングなどで不正使用します。

日本クレジット産業協会の調査によると、2017年に起こったスキミング犯罪の被害総額は31億7000万円にのぼり、なかでも海外での被害が増えているといいます。

日本では2001年に「支払用カード電磁的記録に関する罪」が制定されており、スキミングは犯罪行為となっています。

スキミングにより偽造カードを作成すると10年以下の懲役または100万円以下の罰金を科されますが、それでも犯罪件数は増加の一途をたどっているのです。

クレジットカードがスキミングされるとどうなる？

クレジットカード情報がスキミングされ、偽造カードをつくられる、あるいはオンラインショップ上で不正に使用されるという被害にあいます。

スキミングされていても、クレジットカード限度額以内であれば、個人情報を盗まれたことに気づいていない本人もカード利用ができるので、気が付かない人も多いです。

そのため、クレジットカードの利用明細をチェックしたことで初めて、自分が被害にあっていることに気づくケースが数多くあります。

スキミング犯罪によりクレジットカードが不正使用された場合、カード会社に連絡を入れることで、盗難保険の対象となるのが一般的です。

盗難保険が適用されれば、不正使用された代金を支払う必要はありません。

ただし、クレジットカードの管理が杜撰だったり、暗証番号がカードの裏面に書かれていた場合は、盗難保険が適用されないことがあります。

さらに、不正利用から60日を超えてクレジットカード会社に連絡した場合も、保険適用されない契約になっているものもあるので注意が必要です。

最近は、「ネットスキミング」の被害も増えてきている

2019年2月、アメリカの大手セキュリティ関連企業であるシマンテックの日本法人が、スキミングのネット版といえる手口が増加していることを発表しました。

「フォームジャッキング」という手口で、ECサイトのサーバーをハッキングし、スキミング装置の役割を担うスクリプトを組み込むことで、個人情報が転送されるようにするのです。

そうしたスプリクトが組み込まれたECサイトでショッピングを行い、クレジットカード情報を入力すると個人情報が犯罪組織に転送されてしまいます。

そして、転送された個人情報に基づき、偽造カードをつくるなどして不正使用するのです。
その際、カード裏面に記載されているセキュリティーコードも一緒に盗み出されるケースが増えており、年々被害総額があがっているといいます。

こうしたネットスキミングは、ECサイトの個人情報入力フォームの表示や動作によって見つけるのが難しく、利用者が事前に気づくのが難しいのが現実です。

スキミング犯罪は、年々進化してきている？

日本でスキミング犯罪が行われるようになったのは、1980年代です。
そこから40年近く、スキミング犯罪は根絶されることなく、むしろ進化しています。

ここでは過去から現代にいたるまで、スキミング犯罪の手口がどのように変わってきたかについて、お話しします。
クレジットカードの進化に合わせて手口も変わっているので、その内容を覚えておきましょう。

1980年頃は、「手動」のスキミングが主流

スキミングには、「スキマー」と呼ばれる、カード情報を盗み取るための機器が使われます。

1980年代はクレジットカードを使用する際、店舗のカードリーダーを通してから、本人にサインを求めていました。

そのため、カードリーダーを持つ店舗のスタッフが、お客さんが目を離した隙に手動でスキマーも通すという方法が主流だったのです。

当時のクレジットカードは磁気部分に個人口座だけでなく、暗証番号も書き込まれていました。

磁気部分に使い捨てカイロの鉄粉をのせることで、暗証番号を肉眼で確認できたという説もあるほど、個人情報を盗みやすい時代だったのです。
その結果、銀行口座から預金が引き出されるという被害も多発していました。

1990年頃から、スキマーの高性能化に伴いスキミング犯罪が増加し始める

1990年代になると電子機器の技術革新が進み、クレジットカードの磁気情報やカードリーダーが集められる情報量が増えました。

そうしたカードリーダーの高性能化により、個人情報を盗み出す人が必要な手動でのスキミングが下火になります。
そのため、カードリーダー自体に小型で高性能のスキマーを組み込むという方法に移行していきました。

あらかじめカードリーダーにスキマーを組み込んでおき、店舗である程度、クレジットカードが利用されたタイミングを見計らって回収し、個人情報を盗み出していたのです。

とはいえ、カードリーダーへの組み込みと回収のためには、店舗に協力者が必要な点は変わらなかったようです。

2000年頃は、「無線型スキマー」が登場

1990年代は個人情報を盗み出す際には、スキマーの回収が不可欠でした。
というのも、それまではカード情報を盗み取るためには、クレジットカードとスキマーを接触させる必要があったからです。

しかし2000年代になると、無線式のスキマーが主流となります。

無線式スキマーを使うと、クレジットカードに近づけるだけで、個人情報を読み取ることができるため、主流となっていきました。

無線式スキマーは年々小型化が進んだため、店舗だけでなく、満員電車やエレベーター内で個人情報を盗み出される被害がみられるようになったのも、この年代です。

この当時は、被害者ができる防止対策はなく、スキミング被害者が増加した時期ともいえます。

2010年～現代、電子マネーの浸透に伴い非接触式スキミングの危険性が増大

2010年代になると、スキミング被害にあうのはクレジットカードやキャッシュカードだけではなくなりました。

電子マネーの登場と浸透により、その被害者が増加したのです。
スキミング手口の主流は、無線式スキマーと同じ非接触型スキミングです。

この年代になると、スキミング被害対策として、クレジットカードやキャッシュカードにICチップが使われるようになります。

なぜICチップが使われるようになったのかというと、これまで利用されていた磁気ストライプのものより情報を盗み出す難易度があがるためです。

CPUが組み込まれたICチップは、磁気ストライプよりずっとセキュリティ面が向上しています。

しかし近年は、ICチップから個人情報を盗み取るスキマーが登場しています。

そうしたスキマーは、カードの読み取り装置から発生する電磁波を使い、カードに内蔵されたアンテナに無線でアクセスし、情報を読み取る仕組みを悪用したものです。
このようにカードの進化に合わせて、スキマーも変化しています。

スキミング被害を防止するための対策６つ

クレジットカードやキャッシュカード、プリペイドカードを持っている限り、スキミング被害から完全に身を守るのは難しいのが現実です。
ですがスキミング被害にあうリスクを下げる方法は、いくつかあります。

また、スキミング被害を最小限に留める方法もあるのです。
スキミング被害を防止するための6つの対策は以下の通りです。

それぞれ、順を追って見ていきましょう。

まずは、スキミング手口を知っておくこと

まず、スキミングの手口を知っておくことです。
スキミング被害には国内外を問わずにあう可能性があります。

日本ではサインではなく、カードリーダーに暗証番号を入力して決済するのが主流ですが、海外では店舗のカードリーダーに通そうとする店もあります。

その際、自分の目の前でなく、店の奥で作業をしようとしたら、スキマーに通そうとしている可能性を否定できません。

リスクを負うより、買い物を止めるという選択の方がよいこともあります。
また、街中で非接触型のスキミング被害にあう可能性もあるので、それに応じた対策を講じることも大事です。

クレジットカードは、ICカードに切り替える

近年のクレジットカードは、「磁気ストライプ方式」と「ICチップ方式」に大別されます。
スキミング被害を防止したいなら、磁気ストライプ方式のカードをICチップ方式に切り替えましょう。

ICチップは前述した通り、情報の盗み出しや偽造の難易度が高いからです。

ICとはintegrated circuitの略語で、集積回路を意味します。
ICチップにはCPUが搭載されており、記憶容量が2キロバイトから1メガバイトの大きさになっています。

ICチップのアンテナがカードの読み取り機から出る電磁波を受信し、電源を供給することでデータのやりとりを無線で行うという仕組みで運用されています。
そのため、カードリーダーに直接読み込ませる必要がなく、近づけるだけで決済ができるのです。

ICチップの情報量が多いことから、そのすべてを盗み取るまでに時間がかかるため、スキミング防止になるのです。
さらにICチップは簡単に偽造ができないため、不正使用されにくい点もメリットです。

カードを利用する場所・シーンを限定する

スキミング被害を防止するためには、カードを利用する場所やシーンを限定することも大切です。
利用客の多い銀行店舗内あるいは駅などに設置されたATMは、比較的安全性が高いです。

一方でショッピングモールやコンビニエンスストアで、買い物客の死角になるように設置されたATMはスキミング被害にあうリスクが高くなります。
さらにカードリーダーがお客さん側から見えない位置に置かれた店も、注意は必要でしょう。

なじみの店や場所でしかカードを使わない、自分のクレジットカードを第三者に預けないことも大事なポイントといえます。

また、カードリーダーとして見慣れない機器を使っている店でのカード使用も、避けた方が無難でしょう。

スキミング防止グッズを利用する

近年は、非接触型スキマーによる被害が増加しています。
この場合、カードをバッグやカバンの中に入れていても、被害にあう可能性が高いです。
そのため、スキミング防止グッズを利用することをおすすめします。

中でも電子マネーはスキミング被害にあいやすいので、防止グッズを用意しましょう。

スキミング防止グッズには、クレジットカードと重ねることでスキミングを防止する「カード型」をはじめ、ケースにカードを入れて使う「スリーブ型」、未使用時にカードに貼る「シール型」、スキミングをブロックしてくれる「ケース型」など、様々な種類があります。

参考：スキミング防止グッズの例

Aerb カードケース RFIDスキミング防止 薄型 防水 クレジットカード パスポート対応 横入れ・縦入れ式 14枚セット (14セット 灰)	L-Hydrone パスポートケース スキミング防止 海外旅行用ブラック カードケース 便利グッズ

海外に出かける時には、「パスポート一体型」のスキミング防止グッズもあるので、用途や使用頻度に合わせて使い分けましょう。

100円ショップなどで購入できるものもあります。

明細は定期的にチェックする

スキミング被害を最小限に抑える方法としては、カードの利用明細を定期的にチェックするのがおすすめです。

近年は、スキミング被害の発覚を遅らせるために、クレジットカードの不正使用額や、口座からの現金の抜出が少額化する傾向が強まっています。

一度の被害は少額でも、積み重なれば大きな被害になりますので、自分の利用履歴と明細に違いがないかをきちんとチェックすることが不可欠です。

万が一、自分が使用した覚えがない項目があった場合には、すぐにカード会社に連絡を入れてください。

カード盗難保険を活用する

万が一、スキミング被害にあってしまったら、カード会社の盗難保険が適用されるかどうか、問い合わせてみましょう。

クレジットカードの場合は、原則的に盗難保険が付帯しています。

カード会社によって盗難保険のルールには違いがありますが、スキミング被害にあってから一定期間内に届出をすることで、保険が適用される可能性が高いです。

盗難保険が適用になれば、被害分を自己負担せずに済みます。

毎月、クレジットカードの明細をチェックする習慣をつければ、盗難保険適用期間内に被害を見つけることができるはずです。

スキミング被害の手口を知り、きちんと対策しよう!

今回は、スキミングとは何か、犯罪の仕組み、被害を防止するための対策などについてお話ししました。
この記事をまとめると、

の3つです。
2020年の東京オリンピックに向けて、キャッシュレス化が進む日本だからこそ、スキミング防止対策は重要です。

この記事を、スキミング被害を避ける一助にしていただけたら幸いです。