\r\n\r\n
クレジットカードのスキマーは、ATMやガソリンスタンドなどの決済端末に取り付けられることが多い悪質な装置です。このような危険な端末を使用すると、スキマーはカードのコピーを作成し、暗証番号を取得します(ATMカードの場合)。
ATMやガソリンスタンドを利用する場合は、こうした攻撃に注意する必要があります。正しい知識があれば、ほとんどの捕食者を見分けることは実際簡単です。しかし、他の攻撃と同様に、この種の攻撃はどんどん高度になっていきます。
従来、オイルスキマーは2つの部品で構成されていました。1つ目は、通常カードスロットに差し込む小型のデバイスです。**カード使用時に、カード磁気ストライプのデータのコピーを作成する装置です。カードは装置を通って機械に入るので、一見正常に見えますが、カードデータはコピーされただけなのです。
2つ目のパーツはカメラです。ATM画面の上部、テンキーのすぐ上、キーパッドの側面など、キーパッドが見える場所に小型カメラを設置します。カメラはキーパッドを指し、あなたが暗証番号を入力するところを捉えます。端末は正常に動作しますが、攻撃者はあなたのカードの磁気ストライプをコピーし、暗証番号を盗んだだけなのです。
攻撃者はこのデータを使って、磁気ストライプのデータを持つ偽のカードをプログラムし、別のATMでそれを使って暗証番号を入力し、銀行口座からお金を引き出すことができるのです。
それでも、オイルスキマーの高性能化は進んでいる。オイルスキマーは、ベイに取り付けられた装置ではなく、**ベイ自体にある小さくて気づかない装置である場合もあり、しばしばシマーと呼ばれることがあります。
キーボードにカメラを向ける代わりに、本物のキーボードに偽のキーボードを取り付けたオーバーレイを使用している可能性があります。偽キーボードのボタンを押すと、押したボタンを記録して、その下にある本物のボタンを押します。これらは見分けがつきにくい。カメラと違い、暗証番号の取得も保証されています。
スキマーは通常、捕捉したデータを機器本体に保存します。スキマーを回収するためには、犯人は再びスキマーを取りに来なければなりません。しかし、最近では、Bluetoothや携帯電話のデータ回線を使って、このデータを無線で送信するスキーマーも増えています。
すべてのスキマーを発見できるわけではありませんが、お金を取る前に素早く周囲を見渡すことは間違いありません。
もし、カードリーダーが動いていたり、隠しカメラがあったり、キーパッドがオーバーレイしていたりと、何か重大な問題が見つかったら、必ずその端末を管理している銀行や企業に警告してください。もちろん、何かおかしいと思ったら、他を当たってください。
カードリーダーをギコギコ動かしてみるなどの工夫で、一般的で安価なスキムリーディングを見つけることができます。しかし、どのような決済端末を利用する場合でも、自衛のために以下のことを行う必要があります。
スキマー業界が常にお客様の情報を盗む新しい方法を見つけようとしているのと同様に、クレジットカード業界もお客様のデータを安全に保つために新しい技術を駆使しています。最近、ほとんどの企業がEMVチップに切り替えました。EMVチップは複製が非常に困難なため、クレジットカードのデータを盗むことはほとんど不可能です。
問題は、ほとんどのカード会社や銀行がこの新しい技術をかなり早くカードに採用しているにもかかわらず、多くのカードリーダー、決済端末、ATMなどでは、依然として従来のスキミング方法が使われていることです。このようなシステムがある限り、スキマーは常にリスクとなる。今のところ、スキマーが装着されている可能性が最も高いATMやエアポンプ端末でチップ方式を採用しているところは見たことがありませんね。2018年の移行期間中に、決済端末にチップシステムがより多く搭載されることを期待します。
しかし、それまでは、この記事のステップを利用して、できるだけ自分の身を守ることができます。しかし、自分のデータと財政を守るためにできることをするのは、決して悪いことではありません。
この恐ろしい話題についてもっと知りたい、あるいはスキミングされたハードウェアの写真を見たい方は、Krebs on SecurityのBrian Krebs氏の「Allabout Skimmers」シリーズをご覧になってください。2010年の記事も多く、現時点では少し古いですが、今日の攻撃にも通じる内容ばかりなので、興味のある方は読んでみてください。
写真提供:Aaron Poffenberger on Flickr, Nick v on Flickr