クレジットカードやデビットカードから情報を盗み取る「スキミング」は、オンラインではなく現実世界で起こるサイバー攻撃だ。目立たない装置を設置し、気付かないうちに個人情報を盗み取る攻撃を見抜く方法は。
サイバー犯罪というと、まず思い浮かぶのがオンラインでの個人情報窃取や金融詐欺だ。だがガソリンスタンドやATM、店のレジ端末など、日常的に利用するカードリーダーを狙ったスキミングが勢いづいている。クレジットカードや銀行カードの利用時に被害に遭わないためには危険を見抜くことが重要だが、見た目は通常とほぼ同じなので見分けるのが簡単ではない。どのような点に気を付けるべきなのか。
スキミングは、カード読み取り装置に不正なデバイス「カードスキマ―」を取り付け、クレジットカードや銀行カードの情報を盗み取る手法だ。カードスキマーは、正規のカードリーダーに重ねて設置される小型の隠しデバイスで、個人情報を盗むことを目的としている。ガソリンスタンドの給油機、ATM、店舗のレジ端末などのカードリーダーに不正に設置される。暗証番号を記録するための偽のキーパッドやピンホールカメラと組み合わせて使われることが一般的だ。
利用者がカードスキマー設置済みのカードリーダーにカードを通すと、カードスキマーはカードの磁気ストライプを読み取ってデータを記録する。攻撃者が設置したピンホールカメラやかぶせたキーパッドで、入力された暗証番号を記録する。攻撃者は後日カードスキマーを回収して盗んだデータを抽出するか、無線通信を利用して遠隔でデータを取得する。一般的に攻撃者は、カードスキマーをセルフサービスの決済端末に設置するが、店員が不在の隙にレジ端末に設置することもある。
カードスキマーは本物のカードリーダーとほぼ見分けがつかないため、目視で見分けるのは困難だ。攻撃者はカードスキマーを内蔵した偽のカードリーダーを、本物のカードリーダーにかぶせるように取り付ける。この手口はキーパッドが一体型のものでも、分離しているものでも同様だ。ピンホールカメラはカードリーダーの周囲のさまざまな場所に設置される。小さな穴のように見えるため気付きくい。
カードスキマーは本物のカードリーダーと非常に似ているが、見分けがつかないわけではない。以下のポイントは、カードスキマーを特定する際に役立つ。
攻撃者が、隠しカメラやピンホールカメラを設置した痕跡がないかどうかを確認する。ピンホールカメラはレジ端末、ATM、給油機といったデバイスと同化するように作られているが、それでも見つけることは可能だ。ピンホールカメラは、これらのデバイスの外装部分に開いている小さな穴に見えることがある。攻撃者は、後で回収しやすいようにピンホールカメラを十分に固定していない場合があるので、あやしい場所があれば触って緩みがないかどうかを確認するとよい。
ATMやガソリンスタンドの給油機には、防犯カメラが設置されていることが一般的だ。暗証番号を入力する際は、画面やキーパッドを隠すことで個人情報が記録されるのを防ぐことができる。
カードリーダーに明らかな改造の形跡がないかどうかを確認する。カードリーダーに破損やひび割れ、へこみがある場合は使用を避ける。攻撃者は偽のカードリーダーやキーパッドを、取り外しやすいように設置する。カードリーダーが緩んでいるかどうか、または簡単に外れるかどうかをチェックしよう。カード挿入時に異常な抵抗を感じた場合、そのカードリーダーの使用は避けるべきだ。
周囲のカードリーダーと見比べて、そのカードリーダーの外観が他のものと同じであることを確認する。カードリーダーのメーカー、モデル、色、質感が異なる場合、偽のカードリーダーの可能性がある。
POS端末、ATM、給油機の各部品が統一感のある見た目であることも確かめよう。キーパッド、カードリーダー、カード挿入口の色や質感が他の部品と異なっていないかどうかを確認する。異なる点がある場合、カードスキマーを設置されている可能性がある。
次回はスキミングの対策と、被害に遭った際の対処法を解説する。
米国Informa TechTargetの豊富な記事の中から、さまざまな業種や職種に関する動向やビジネスノウハウなどを厳選してお届けします。
Copyright © ITmedia, Inc. All Rights Reserved.
クラウドやIoTなど、デジタルテクノロジーの急速な進化に伴い、企業の機密データに対するリスクも飛躍的に高まることになった。サイバーセキュリティを取り巻く環境が複雑化する中、有効な対応策として注目されているのがXDRだ。
最新のサイバー攻撃に即座に対応するためには、SOCを従来の在り方から変革することが重要になる。しかし、何をすればよいのか分からないという組織も多い。そこで本資料では、現在のSOCが抱えている5つの課題とその解決策を紹介する。
サイバー攻撃が巧妙化し、セキュリティチームとSOCは常に厳戒態勢を取り続けている。さらにデジタルフットプリントの拡大に伴い、セキュリティデータが絶え間なく往来する事態が生じている。このような状況に対応するには、SOARが有効だ。
リモートワークの増加に伴い、組織は、SD-WANやZTNAなどを導入したが、現在はこれらのレガシー技術が、コストやセキュリティの面で新たな課題をもたらしている。これらの課題を解決するための手法として注目したいのが、SASEだ。
「支社や拠点の増加」「従業員とデバイスの分散」「IoTデバイスの爆発的な普及」などの要因により、サイバー犯罪者にとってのアタックサーフェスが著しく拡大した。こうした中で、企業が自社の環境を効果的に保護する方法を解説する。
いまさら聞けない「仮想デスクトップ」と「VDI」の違いとは
遠隔のクライアント端末から、サーバにあるデスクトップ環境を利用できる仕組みである仮想デスクトップ(仮想PC画面)は便利だが、仕組みが複雑だ。仮想デスクトップの仕組みを基礎から確認しよう。
「サイト内検索」&「ライブチャット」売れ筋TOP5(2025年5月)
今週は、サイト内検索ツールとライブチャットの国内売れ筋TOP5をそれぞれ紹介します。
「ECプラットフォーム」売れ筋TOP10(2025年5月)
今週は、ECプラットフォーム製品(ECサイト構築ツール)の国内売れ筋TOP10を紹介します。
「パーソナライゼーション」&「A/Bテスト」ツール売れ筋TOP5(2025年5月)
今週は、パーソナライゼーション製品と「A/Bテスト」ツールの国内売れ筋各TOP5を紹介し...
ITmediaはアイティメディア株式会社の登録商標です。
