スキミング特集

Money Japan

あなたのカードも危ない!情報だけが盗まれるスキミングとは?

銀行のキャッシュカードやクレジットカード。
私たちの周りには、数多くのクレジットカードやキャッシュカードがあり、あたりまえに使われています。

ニュースでカード犯罪の報道も多くなりましたが、スキミング犯罪は、『自分には関係のない話』と他人事のように捉えている人も多いようです。

ぜひ、知識と防犯意識を高めて、被害に遭いにくい生活を送ってください。

スキミングとは?

クレジットカードやキャッシュカードの裏面にある磁気ストライプに記録されている会員番号や口座番号などの情報をスキマー(スキミングマシン)と呼ばれるカード読み取り機を使って盗み取る行為を指します。

盗み取った情報を基に偽造カードが作られ、不正利用(ショッピングや預金引出)されてしまいます。
カード自体の盗難と異なり、盗み取られるのが登録データという目に見えないものなのでカード所有者がスキミングの被害に遭っていることに気が付きにくいのが特徴です。
実際に気が付くのは、クレジットカードの利用明細書を確認するときや銀行の通帳記入をしたとき(実際に被害が数字として表れたタイミング)です。

スキマーとは?

カードの磁気ストライプから情報を盗み取るカードリーダーのことです。
その形から3種類に分けることができます。

ハンディ型と呼ばれる手のひらサイズのものです。

ハンディー型のスキマー

写真は今から10年ほど前に警察に押収されたスキマー(磁気情報読取装置)の実物。
今ではさらに小型化が進んでいます。

キャッシュカードの情報を盗み取るのがATM組込型です。

ATMに設置されたスキマー

カードの差し込み口にスキマーが取り付けられています。 キャッシュカードのスキミングの場合は、あわせて暗証番号も盗み出す必要があります。
そのため暗証番号を入力するパネルも盗撮用の小型カメラで撮影しています。
小型カメラは「レシート入れ」などに偽装されて設置されています。

現在ではあまり使われなくなったのが、端末機内部への組込型です。 本物の決済端末機を分解し、基板にスキマーを組み込んでいたので、外見からはまったく判断できませんでした。
しかし分解したことがわかるように封印シールが貼られるようになると、この手法はとられなくなりました。

スキミングの歴史

1980年代 手動スキミング
1990年代 組込型スキミング
2000年代初め 組込型無線式スキミング
2000年半ば~ 非接触式スキミング

1980年代

この頃はクレジットカードによる決済のタイミングでスキミングが行われていました。
店舗のカードリーダーに通し、その後、お客が目を離した隙にスキマーにも通していたのです。

今では考えられないことですが、1987年以前のキャッシュカードの磁気ストライプには、暗証番号も書き込まれていたため、カード情報を読み取って解析する(一時期には「使い捨てカイロに入っていた鉄粉」と「肉眼」で、書き込まれた情報を読み出す事も可能だったという)事で、銀行口座から預金が盗まれる被害が多発しました。

1990年代

今までのやり方だと店舗ごとにスキミングのための協力者が必要だったために、大量にカード情報を集めるということは難しいものでした。

しかし電子技術スキマーの小型化・高性能化(記憶容量の増加)によって、店舗カードリーダー本体の中に組み込む方法が主流となりました。
大量のデータが貯まった頃を見計らって回収していたのです。

2000年代

この頃になると無線式のスキマーが登場します。
わざわざ店舗に行ってスキマーごとカード情報を回収しなくても良くなったので、より効率よく盗めるようになったといえます。

2000年代

非接触式スキミングの危険性が指摘されるようになりました。 今までのように磁気ストライプから情報を抜き取るのではなく、カードに搭載されているICチップからデータを抜き取るという方法です。 suicaやEdyなど財布の中から出さなくても改札やレジの端末に近づけるだけで決済できますよね。 これがスキミングにも悪用されるのではないか・・・という問題です。

実際には、まだ犯罪に偽造ICカードが使われたということは確認されていません。 現在([year]年)でもスキミングで狙われるのは磁気ストライプです。

カードの種類と安全性

磁気ストライプ

磁気ストライプカード

今でも使われている磁気ストライプですが、この技術が登場したのは1960年代。

現在の技術を使えば簡単に抜き取れる・・・というのは容易に想像できると思います。

裏面にしか磁気ストライプはないと思っている人が多いですが、カードの表面にも磁気ストライプはあります。
ただ表面は特殊な印刷技術で隠しています。これによりカード全面を使ったデザインが行えるようになっています。

ICカード

ICカード

suicaやEdyのカードが該当します。

カードにICチップを埋め込んでいます。

ICチップにはCPUが組み込まれていてカード内で複雑な計算処理ができるセキュリティが高いものになっています。
基本的には偽造が不可能と言われています。

ハイブリッドカード

現在のクレジットカードとキャッシュカードの主流となっているのがハイブリッドカードです。
上記の磁気ストライプとICチップを備えたカードのことです。

ICチップ搭載のカードにしても安心できない

「ICカードだから・・・」と油断してはいけません。
前段で説明しましたが、クレジットカードやキャシュカードをICチップ搭載のカードに切り替えたとしても、実体は、裏面に磁気ストライプもついているハイブリッドカードと呼ばれるものであることがほとんどです。

犯罪グループも安全性の高いICチップを狙うことはありません。
磁気ストライプの情報が抜き取れればそれで良いのです。

本当に安心したいのであれば磁気ストライプのない純粋なICカードにする以外、方法はありません。

スキミングの被害額

最近10年間の偽造クレジットカードの被害額の推移をグラフにしてみました。

10年ほど前に比べるとだいぶ減ったように思えます。
それでも年間30億円ほどの被害があります。

スキミング対策が進んで被害が抑えられているというよりフィッシング詐欺などによりカード番号の盗用などの犯罪へシフトした結果というのが実体のようです。

偽造キャッシュカードによる被害額のグラフです。

平成20年から平成29年(10年間)の偽造クレジットカードによる被害額の推移

被害額は一般社団法人全国銀行協会より

単位は「百万円」。
年平均2~3億円といったところでしょうか。

公表されているデータが5年ほど前までなのでこの段階ではそれほど多くないように思えますが、平成28年にはたった2時間の間に約20億円もの預金が引き出される事件も起こったので被害額は増加傾向にあると思えます。

スキミングの手口

スキミングの手口は現在でもカードをスキマーに通して、磁気ストライプから情報を読み取る。そして暗証番号も盗撮などによって確認するという方法でしかありません。

非接触で磁気ストライプから情報を抜き出す方法はありません。

肝心なのは、どんな場所・タイミングでカードから情報が抜き取られるかです。

  • ATM
  • ロッカー(ゴルフ場、風呂、ジム)
  • 決済時
  • 空き巣、車上荒らし、スリ

キャッシュカードで気を付けておかなければいけないのはATMです。
暗証番号とセットで盗めるからです。

利用者の多い都会の駅やその周辺のコンビニなどは特にターゲットになりやすいです。スキマーが設置されていることに気付かれる数日の間に大量にデータを集めることができるからです。反対に地方・田舎のATMなどはターゲットになりにくいです。

ロッカーの使用時も注意が必要です。
ロッカーというと利用者が限られ大量にデータを集めることは難しいですが、ゴルフ場や高級ジムなど場所を限定することで、利用者の属性がお金持ちである(口座に大金が入っていることを狙う)ことを狙えば被害額は大きなものになっていきます。

カードの暗証番号は分からない・・・と思うかもしれませんが、暗証番号にまで注意を払っている人は少なくロッカーとカードの暗証番号が同じであることや数字の入替程度の対応しかしていないことがほとんどです。

クレジットカードは決済時に狙われます。
昔のように決済端末(CAT)にスキマーが不正に組み込まれることはなくなってきましたが、狙われるのは端末からカード会社とつながっている回線です。

また昔から変わらないのが、「決済はお席でお願いします。」「カードをお預かりします。」と言われ、クレジットカードを店員に預けたときです。

「店員は不正をしない」と思って渡すのですが、このタイミングで情報を取られることも少なくありません。

また最近では、カード番号・有効期限・セキュリティコードを盗む番号盗用の犯罪もあります。

空き巣・車上荒らし・スリ、これらのタイミングでカード情報だけを狙う集団もあります。
入った痕跡さえ残さない、すった財布でも情報だけ取ってしまって後は「財布落としましたよ」と返すパターンもあります。

カードを守る4つの対策・防止方法

残念ながら100%スキミングを防げるという方法はありません。

しかしこれから紹介する4つの方法を実践するだけでも被害に遭う確率を下げることができますし、被害に遭っても補償を受けられるでしょうから実質的な被害がない状況を作り出すことができます。

所有カードのリストラを行おう!

目的はカードの枚数を減らす事によって1枚のカードの稼動率を上げることです。
そうする事で仮にスキミング被害に遭ったとしても比較的早い段階で気付く事ができます。
スキミング犯罪はカード所有者が気付かないうちに行われています。
カード所有者として被害にあったときにすぐに分かる環境にしておくことが、とても大切なポイントになります。

被害を受けた後でも、クレジットカードの場合は、不正利用された旨をクレジットカード会社に連絡し、認められればあなたが受けた被害は、全額補償されます。(つまり不正使用された金額の支払いは行わなくても構いません)

暗証番号の管理

キャッシュカードはクレジットカードに比べ、スキミング被害に遭いにくいです。 それは、ATMから自分の預金を引きおろそうとしてもスキミングした偽造カードだけでは不可能だからです。

と言うのも キャッシュカードの暗証番号は、銀行のコンピュータの中にに入っており、カードの中には、その他のカード情報しか入っていません。
ですから、カードから情報を盗んでも暗証番号が分からないので被害に遭いにくいのです。
つまり暗証番号の管理が重要なポイントになります。

犯人は、あなたの暗証番号が知りたいのです。
だからこそ誕生日・住所・電話番号・簡単な連番など、犯人が推測しやすい暗証番号は避けるべきです。
暗証番号の変更はATMでも行えるので、定期的に暗証番号を変更していくことも有効な手段です。

明細書・通帳のチェック

クレジットカードの場合は、明細書を細かにチェックしないと気付かないこともあります。

基本的には、偽造クレジットカードの場合は高額商品や換金性の高い商品の購入に使われます。

意外なことですが1万円以下の端数の利用を複数回されることもあります。
普段の買い物からクレジットカードを利用している人だと、ある程度は誤差の範囲としか考えず、長期にわたって不正利用されるケースもあります。 それを防ぐためにも明細書はきちんとチェックすることです。
不正利用されているのでしたらクレジットカード会社に連絡し、補償を受けましょう。

銀行の通帳も月に1度は記帳して被害に遭ったことを何ヶ月も何年も気付かなかったということのないにしたいところです。
そして偽造キャッシュカードの被害を最小限に抑える方法として「口座の使い分け」が有効な手段となります。
基本的には、

  • 10~20万円以下の日常で使う口座
  • 貯蓄用口座

貯蓄用口座はカードを作らず通帳のみで管理します。
日常用の口座はキャッシュカードを作らないと不便ですが、入出金の頻度が低い貯蓄口座にキャッシュカードはいりません。 ※通帳があれば入金はATMで行えます。

危機管理意識を持つこと

スキミング被害の急増により多くの銀行でキャッシュカードを利用したATMでの出金の限度額に制限を設けるようになりました。現在の磁気テープのキャッシュカードからICカード化したり、生体認証が必要なキャッシュカードまで発行されるようになってきています。

しかし、それだけではスキミング犯罪はなくなりません。
一時的に犯罪件数や被害額は減らせると思います。それに対応する方法で新たな犯罪手法が生まれてくるイタチごっこで現在まで来ているからです。

ここまで記事を読まれているあなたは、十分注意を払われていると思います。その「危機管理意識を持つこと」が一番大事なことです。 残念ながらカードを発行しているクレジットカード会社や銀行に『セキュリティをしっかりしてほしい』と求めるだけでは安心できません。 カードを利用している私たち自身も、自分たちにできる対策を取ること、定期的に防犯に関する情報を確認することを継続していってください。

スキミングはどんな罪に問われるのか?

余談ですが、スキミングに関連する犯罪はどのように罰せられるのでしょうか。
2001年に刑法が改正された際に「支払用カード電磁的記録に関する罪」が新設されました。
それまでは支払い用カードの不正利用を犯罪とする規定がなかったからです。
補足:支払用カードというと分かりにくいですが、クレジットカード、キャッシュカード、デビットカード、プリペイドカードがあります。

  1. 支払用カード電磁的記録不正作出等罪(163条の2)
  2. 不正電磁的記録カード所持罪(163条の3)
  3. 支払用カード電磁的記録不正作出準備罪(163条の4)
  4. 未遂罪(163条の5)

支払用カード電磁的記録不正作出等罪(163条の2)
偽造カードを作ったら10年以下の懲役または100万円以下の罰金
偽造カードを作る基となる情報や偽造カードを使ったり、譲ったり貸したりなどしても同じように罰せられます。

不正電磁的記録カード所持罪(163条の3)
偽造カードを持ってたら5年以下の懲役または50万円以下の罰金

支払用カード電磁的記録不正作出準備罪(163条の4)
これがスキミング行為そのものを罰する規定ですね。
「偽造カードを作る目的で情報を取得(スキミング)」したらダメですよと決められています。
3年以下の懲役または50万円以下の罰金

未遂罪(163条の5)
偽造カードを作ったり、使ったり、譲り渡したり、スキミングなどの行為は未遂でも罰に問われます。