スキミング

スキミング英語: Skimming)とは、カード犯罪で多く使われる手口の一つで、磁気ストライプカードに書き込まれている情報を抜き出し、全く同じ情報を持つクローンカードを複製する犯罪である。またカジノ経営において、売上を簿外化することで過少申告する脱税行為をスキミングと呼ぶことがある。

概要

[編集]

この犯罪行為の手法は、そのカードの磁気に記録されている各種データ(会員番号や口座番号など)を、カード情報を読み取る機能を持ったスキマー(スキミングマシンとも言う)という装置により盗み取ることである。

正式な所有者が、信販会社などのクレジットカードや、銀行などの金融機関で利用されるキャッシュカードを使用する際には、カードに組み込まれた磁気テープに記載された情報を、機械的に読み取って信販会社や金融機関のコンピュータに通信して照会、その結果として所有者は、求める商品やサービスを購入したり、現金を引き出したりできる。

実際のスキミングにおいては、商店・ホテル・レストラン等のサービス業店頭に設置された読み取り装置内に、読み取られたカードの情報を記録、または送信・中継する部品が不正に組み込まれていたり、もしくはカードを一時的に盗んで、スキマーを利用して情報を読み取るといった手口が知られている。また中には、警官や信販会社のサービスマンになりすまして、カードをチェックするふりをして、正当な所有者の目前でスキミングマシンに堂々と通して情報を盗むという事例も報告されている。

こうして読み取られた情報は、別の磁気カードに書き込まれる訳だが、中にはカードの表面やホログラムまでも忠実に印刷した精巧に偽造したクレジットまたはキャッシュカードを作成・利用する事例も見られる。これらは犯人グループによって、金融機関のキャッシュディスペンサーや現金預け払い機から現金を引き出すのに用いられたり、あるいはクレジットカードの場合はそれで物品などを購入する事に使用され、商品を騙し取るために利用される。

スキミングによる詐欺は、カードが手元に残るため、カード盗難のようにすぐ所有者がカード停止する事が無いため、月末などに使用明細が届くまで気付かれにくい。

特に、ここ数年はデビットカードというキャッシュカードを使った支払いができる店舗が増加し、またコンビニエンスストアなどでもATM(コンビニATM)などが次々と開設され、これら店舗にて設置・管理されているカード読み取り端末に、スキマーが仕掛けやすいことなどから、キャッシュカードが狙われる事例が多くなっている。また、近年ではクレジットカードのEMV仕様に準拠したICの搭載や、SuicaなどRFIDの普及等、後述する対策もあり、かつてのような複製は容易ではなくなっているが、個人に近づいてRFIDを所有している人物に近づいてスキミングし個人情報を入手するといった手法もある[要出典]ため、完全撲滅には至っていない。

日本では刑法163条の2から5までで規定された「支払用カード電磁的記録に関する罪」によって、刑事罰の対象となる。

歴史と対策

[編集]

プラスチック製の磁気ストライプカードを活用して、様々なサービスが提供され始めた1960年代後半より、この種の犯罪の発生の可能性が指摘されてきた。当初は、大規模な施設がないと複製が困難である事から、これら犯罪は大規模な組織による物とされ、個人や数人の犯行グループの手では行えない物と言われた。

しかし1980年代に入ると、急速に電子技術が発達し、末端の機械マニア程度でも、容易に複製カードを製作できる状況になった。特に当初の磁気カードには、暗証番号も平文で書き込まれていたため、カード情報を読み取って解析する事で、銀行口座から預金が盗まれる被害が続発した。一説には、使い捨てカイロに入っていた鉄粉を、磁気ストライプ部分に振りかけて描かれる文様を肉眼で見て、暗証番号を読み出す事も可能だったと言われる。

しかし、こうしたカード窃盗被害が増えてくると、カード供給側も対抗対策として、暗証番号を磁気カードから取り除いたカードの切り替え(ゼロ暗証番号化)、暗証番号をその都度サーバ側に照会する「ゼロ暗証番号方式」に改めた。またカードが盗難に遭った際に、迅速に利用停止処置をとれる様にするため、届け出を365日24時間受け付ける専用電話窓口を設けるなどして対応し、磁気ストラップを排したICキャッシュカードを配布させ、カード窃盗は次第に減っていった。

技術的な進歩によって、スキマー等機器の小型・高性能化が進み、かつ、スキマーにデータを大量に保持する機能を搭載して、一挙に多数のカードの情報を不正入手する手段が確立する一方で、磁気カードへの書き込み装置に関しても、大量に闇で出回るようになり、近年のスキミング犯罪では、一度に多くの被害者を出すケースが増えている。特に大規模なスキミング窃盗団も度々捕まっており、世界的な問題にもなっている。

この対策として、金融機関によっては、1日の引き出し限度額を一律に引き下げたり、利用者各人が設定できるようにしたり、また偽造が比較的困難とされるICカードに切り替えるなどの対抗策をとる他、ATMでの本人確認手段として、比較的他人に知られてしまいやすい暗証番号に加えて、容易に詐称が出来無い静脈による生体認証を組み合わせて導入する所も出てきている。

また、ATMやキャッシュディスペンサー等の、直接的に金銭を扱う装置では、小型カメラなどの撮影装置をATMや、セーフティボックステンキーに設置し、機器利用者の写真や映像を常に撮影し続ける事で、カード窃盗やスキミングによる被害が報告された際には、問題のカード利用者の容姿を警察側に証拠提出できるようになっている。

これは、銀行外に設置されたこれら機器でも同様である。その一方で、キャッシュカードをデビットカードとして用いる小売店においては、POSレジスタにスキマーを仕掛けられる不安があり、また、監視カメラ等の保安設備が整って居らず、ここで不正使用された場合には、容疑者の特定が困難になる。

これらの対策として、クレジットカードを顧客の目の前にて使用している事を監視する、顧客の目に届かない場所へカードを持って行かせない、ATMのカード挿入部やテンキーに、不審な機器が取り付けられていないかを確認する、明細書をこまめに確認する等がある。

「カードの磁気情報の読み取りを遠隔で行いスキミング出来る」といった話があるが、現状の技術では、読み取り用の磁気ヘッドとカード上の磁性体は、密着している必要があり、遠隔での読み取りは不可能である。ただし、『ECサイトなどで使われているWebアプリケーションを改ざんする』等の手法[注釈 1]により、カード利用者がオンラインショッピングの際に入力したカード情報を盗み出されるケース(Webスキミング[1])についてはその限りではない。

近年の事件

[編集]

1990年代より、東南アジア方面での旅行者を中心に、身に覚えの無いクレジット利用の請求が届く事件が多数届け出られた。調査の結果、飲食店や土産物屋などでクレジットカードを利用した際、店のレジに設置されたクレジットカード読み取り機にスキマーが組み込まれており、これによって偽造カードを作られていた事が判明した。この背後には同地域に大規模な偽造カード集団が有ると見られており、近年では欧州等の旅行者の中にもスキミングされ、東南アジア方面で偽造カードを不正利用されるケースもあった。関係各国では観光産業に打撃を与えるこれら犯罪に、大規模な捜査を行い末端組織を摘発しているが、根本的な解決には到っていない模様である。

2003年頃から、都心を中心にスキミングによって作られたカードを使用して銀行口座から金銭を騙し取る行為が続発、警視庁と神奈川・千葉・埼玉・静岡の各県警の共同捜査本部による捜査の結果、ゴルフ場のロッカーを中心にロッカー荒らし(ただし通報を遅らせるため、中の金銭・貴重品には手を付けない)とスキミングを繰り返していた集団を2005年1月19日に一斉捜査に踏み切った。同集団らは、ロッカーに盗撮カメラを設置、ロッカーを利用者が使用する所を撮影し、この操作を元にキャッシュカードの番号を推察してスキミングで作成したカードを悪用したと見られている。特に被害者が裕福である場合が多かったため、被害規模は数億円に及ぶと見られている。主犯は会社社長の息子であり、共謀者は教員の息子でもある。

2005年の3~4月および9~10月に、ATMカード差込口に仕掛けられたと思われるスキマーを利用したとみられる事件が発生、計5件約150万円規模の被害が愛知県や岐阜県で報告されている。この事件では、ATMのカード差込口にケーブルで別の機器に接続された縦横10cm・厚さ2cmの装置が取り付けられていたとする目撃証言があり、ある一定のATMマシン(この装置が取り付けやすい形状をしている)を狙っての犯行だと見られている(特に人目の少ない店舗外ATMが狙われた模様)。銀行ATMに直接スキマーを取り付けた事例は、欧米諸国では以前から問題となっていたが、日本国内では初めてのケースである。なお防犯カメラには同機器を取り付けようとする不審人物の姿も映されており、2006年3月に容疑者が逮捕された。これが、スキミング被害による現金引き出しの実行犯を逮捕した初めてのケースである。

上記スキマー等の機器を用いない手法による事例(前項のWebスキミング)も確認されており、2023年11月15日には、2022年の10~11月にかけて音楽グループ公式サイトに不正なプログラムを仕掛ける手法により、当該サイトを通じて商品を購入した京都府内の3人のクレジットカード番号などを不正に入手した、として埼玉県草加市の無職の男が不正指令電磁的記録供用等の容疑で京都府警等の合同捜査本部に逮捕されている[2]フィッシングの場合とは異なりURL自体は真正であるため利用者(及びサイト運営者)が気づきにくく[注釈 2]、これまでに同様の手法で流出した恐れがある個人情報は少なくとも約20万件に上るとされる[3]

脚注

[編集]

注釈

[編集]
  1. ^ 『ECサイト本体のWebアプリケーション、あるいはHTMLを改竄する』手法のほか、ECサイトが広告配信やアクセス解析などのために利用している外部サービスが送信するスクリプト(サードパーティスクリプト)を改竄する手法がある。特に後者の手法の場合にはECサイト側で事前に検知する事が困難なうえ、ゼロデイ攻撃を併用された場合には金銭的被害を食い止める事はほぼ不可能となる。
  2. ^ 捜査機関のサイバーパトロールにおいて、不正に入手したとみられるクレジットカードの情報が、匿名掲示板に100件以上書き込まれているのが偶然発見され、その後の捜査によって、全国初となるWebスキミング実行犯の検挙となった。

出典

[編集]
  1. ^ 『意外と知らない?ITトレンド用語』Webスキミングとは - ICT Business Online(NTTコミュニケーションズ) 2023年11月18日閲覧
  2. ^ “ウェブスキミング”でクレカ情報を不正入手か 全国初の検挙2023年11月15日、NHK NEWS WEB 2023年11月18日閲覧。
  3. ^ 「ウェブスキミング」初摘発 ECサイトでカード情報盗む2023年11月15日、日本経済新聞(日経電子版) 2023年11月18日閲覧。


関連項目

[編集]

外部リンク

[編集]