どこから漏れた? 「クレカ情報」が盗まれる巧妙な手口とは:スキミングに遭わないために【前編】
クレジットカードやデビットカードから情報を盗み取る「スキミング」は、オンラインではなく現実世界で起こるサイバー攻撃だ。目立たない装置を設置し、気付かないうちに個人情報を盗み取る攻撃を見抜く方法は。
サイバー犯罪というと、まず思い浮かぶのがオンラインでの個人情報窃取や金融詐欺だ。だがガソリンスタンドやATM、店のレジ端末など、日常的に利用するカードリーダーを狙ったスキミングが勢いづいている。クレジットカードや銀行カードの利用時に被害に遭わないためには危険を見抜くことが重要だが、見た目は通常とほぼ同じなので見分けるのが簡単ではない。どのような点に気を付けるべきなのか。
「クレカ情報」を盗む巧妙な手口とは
スキミングは、カード読み取り装置に不正なデバイス「カードスキマ―」を取り付け、クレジットカードや銀行カードの情報を盗み取る手法だ。カードスキマーは、正規のカードリーダーに重ねて設置される小型の隠しデバイスで、個人情報を盗むことを目的としている。ガソリンスタンドの給油機、ATM、店舗のレジ端末などのカードリーダーに不正に設置される。暗証番号を記録するための偽のキーパッドやピンホールカメラと組み合わせて使われることが一般的だ。
仕組み
利用者がカードスキマー設置済みのカードリーダーにカードを通すと、カードスキマーはカードの磁気ストライプを読み取ってデータを記録する。攻撃者が設置したピンホールカメラやかぶせたキーパッドで、入力された暗証番号を記録する。攻撃者は後日カードスキマーを回収して盗んだデータを抽出するか、無線通信を利用して遠隔でデータを取得する。一般的に攻撃者は、カードスキマーをセルフサービスの決済端末に設置するが、店員が不在の隙にレジ端末に設置することもある。
外観
カードスキマーは本物のカードリーダーとほぼ見分けがつかないため、目視で見分けるのは困難だ。攻撃者はカードスキマーを内蔵した偽のカードリーダーを、本物のカードリーダーにかぶせるように取り付ける。この手口はキーパッドが一体型のものでも、分離しているものでも同様だ。ピンホールカメラはカードリーダーの周囲のさまざまな場所に設置される。小さな穴のように見えるため気付きくい。
カードスキマーの見抜き方
カードスキマーは本物のカードリーダーと非常に似ているが、見分けがつかないわけではない。以下のポイントは、カードスキマーを特定する際に役立つ。
ポイント1.周囲の痕跡
攻撃者が、隠しカメラやピンホールカメラを設置した痕跡がないかどうかを確認する。ピンホールカメラはレジ端末、ATM、給油機といったデバイスと同化するように作られているが、それでも見つけることは可能だ。ピンホールカメラは、これらのデバイスの外装部分に開いている小さな穴に見えることがある。攻撃者は、後で回収しやすいようにピンホールカメラを十分に固定していない場合があるので、あやしい場所があれば触って緩みがないかどうかを確認するとよい。
ATMやガソリンスタンドの給油機には、防犯カメラが設置されていることが一般的だ。暗証番号を入力する際は、画面やキーパッドを隠すことで個人情報が記録されるのを防ぐことができる。
ポイント2.カードリーダーの改造跡
カードリーダーに明らかな改造の形跡がないかどうかを確認する。カードリーダーに破損やひび割れ、へこみがある場合は使用を避ける。攻撃者は偽のカードリーダーやキーパッドを、取り外しやすいように設置する。カードリーダーが緩んでいるかどうか、または簡単に外れるかどうかをチェックしよう。カード挿入時に異常な抵抗を感じた場合、そのカードリーダーの使用は避けるべきだ。
ポイント3.他のカードリーダーとの相違点
周囲のカードリーダーと見比べて、そのカードリーダーの外観が他のものと同じであることを確認する。カードリーダーのメーカー、モデル、色、質感が異なる場合、偽のカードリーダーの可能性がある。
POS端末、ATM、給油機の各部品が統一感のある見た目であることも確かめよう。キーパッド、カードリーダー、カード挿入口の色や質感が他の部品と異なっていないかどうかを確認する。異なる点がある場合、カードスキマーを設置されている可能性がある。
次回はスキミングの対策と、被害に遭った際の対処法を解説する。
TechTarget発 世界のインサイト&ベストプラクティス
米国Informa TechTargetの豊富な記事の中から、さまざまな業種や職種に関する動向やビジネスノウハウなどを厳選してお届けします。
Copyright © ITmedia, Inc. All Rights Reserved.