クレジットカードのスキマーは、ATMやガソリンスタンドなどの決済端末に取り付けられることが多い悪質な装置です。このような危険な端末を使用すると、スキマーはカードのコピーを作成し、暗証番号を取得します（ATMカードの場合）。

ATMやガソリンスタンドを利用する場合は、こうした攻撃に注意する必要があります。正しい知識があれば、ほとんどの捕食者を見分けることは実際簡単です。しかし、他の攻撃と同様に、この種の攻撃はどんどん高度になっていきます。

オイルスキーマーの動作原理

従来、オイルスキマーは2つの部品で構成されていました。1つ目は、通常カードスロットに差し込む小型のデバイスです。**カード使用時に、カード磁気ストライプのデータのコピーを作成する装置です。カードは装置を通って機械に入るので、一見正常に見えますが、カードデータはコピーされただけなのです。

2つ目のパーツはカメラです。ATM画面の上部、テンキーのすぐ上、キーパッドの側面など、キーパッドが見える場所に小型カメラを設置します。カメラはキーパッドを指し、あなたが暗証番号を入力するところを捉えます。端末は正常に動作しますが、攻撃者はあなたのカードの磁気ストライプをコピーし、暗証番号を盗んだだけなのです。

攻撃者はこのデータを使って、磁気ストライプのデータを持つ偽のカードをプログラムし、別のATMでそれを使って暗証番号を入力し、銀行口座からお金を引き出すことができるのです。

それでも、オイルスキマーの高性能化は進んでいる。オイルスキマーは、ベイに取り付けられた装置ではなく、**ベイ自体にある小さくて気づかない装置である場合もあり、しばしばシマーと呼ばれることがあります。

キーボードにカメラを向ける代わりに、本物のキーボードに偽のキーボードを取り付けたオーバーレイを使用している可能性があります。偽キーボードのボタンを押すと、押したボタンを記録して、その下にある本物のボタンを押します。これらは見分けがつきにくい。カメラと違い、暗証番号の取得も保証されています。

スキマーは通常、捕捉したデータを機器本体に保存します。スキマーを回収するためには、犯人は再びスキマーを取りに来なければなりません。しかし、最近では、Bluetoothや携帯電話のデータ回線を使って、このデータを無線で送信するスキーマーも増えています。

クレジットカードのスキミングの見分け方

すべてのスキマーを発見できるわけではありませんが、お金を取る前に素早く周囲を見渡すことは間違いありません。

• リーダーを振る：手でリーダーを振ったとき、リーダーが動き回ると、何かおかしいと感じることがあります。カードリーダーで覆われたスキムリーダーの場合、移動してしまう可能性があります。
• 端末を見る：決済端末そのものをざっと見てみる。何かちょっと違和感がある？底面パネルの色が他の部分と異なっているのは、本物の底面パネルとキーボードの上に載せるプラスチックの偽物だからかもしれませんね。もしかしたら、中にカメラ付きの不思議な物体があるかもしれない。
• キーパッドのチェック：キーパッドが少し太すぎたり、今まで使っていた機種と外観が違っていたりしませんか？本物のキーボードにオーバーレイで表示されることもあります。
• カメラを確認する：攻撃者は、画面のどこか、キーボードの上、あるいはマシンのマニュアルホルダーにカメラを隠している可能性があることを考慮すること。
• Android用Skimmer Scannerの使用：Android**をお使いの場合、近くにあるBluetoothデバイスをスキャンして、市場で最も一般的なスキマーを検出するSkimmer Scannerという素晴らしい新しいツールがあります。ツールを使用します。

もし、カードリーダーが動いていたり、隠しカメラがあったり、キーパッドがオーバーレイしていたりと、何か重大な問題が見つかったら、必ずその端末を管理している銀行や企業に警告してください。もちろん、何かおかしいと思ったら、他を当たってください。

その他、基本的な安全対策として行っていただきたいこと

カードリーダーをギコギコ動かしてみるなどの工夫で、一般的で安価なスキムリーディングを見つけることができます。しかし、どのような決済端末を利用する場合でも、自衛のために以下のことを行う必要があります。

• 手でPINをマスキングする：端末にPINを入力する際に、手でPINキーパッドをマスキングします。確かに、これではキーパッドのオーバーレイを使った最も巧妙なスキマーから身を守ることはできません。しかし、犯罪者はカメラを買う方がはるかに安いので、カメラを使ったスキマーに遭遇する可能性は高くなります。これが、自分の身を守るための一番のコツです。
• 銀行口座の取引を監視する：銀行口座やクレジットカードの口座は、定期的にオンラインで確認する必要があります。疑わしい取引がないかを確認し、できるだけ早く銀行に知らせる。このような問題は、できるだけ早く発見したいものです。犯人が口座からお金を引き出してから1ヶ月後に、銀行から印刷された明細書が送られてくるまで待つ必要はありません。Mint.comなどのツールや、銀行が提供しているアラートシステムも、異常な取引が発生したときに通知してくれるので便利です。
• 非接触型決済システムの利用：該当する場合は、Android PayやApple Payなどの非接触型決済ツールを利用することでも、自分の身を守ることができます。これは本質的に安全で、あらゆるタイプのカードスワイプシステムを完全にバイパスするため、カード（およびカードデータ）が実際に端末に近づくことはないのです。残念ながら、ほとんどのATMはまだ非接触型引き出しに対応していませんが、少なくともガソリンスタンドでは普及が進んでいるようです。

業界は解決策を模索中...進捗は遅々として進まず

スキマー業界が常にお客様の情報を盗む新しい方法を見つけようとしているのと同様に、クレジットカード業界もお客様のデータを安全に保つために新しい技術を駆使しています。最近、ほとんどの企業がEMVチップに切り替えました。EMVチップは複製が非常に困難なため、クレジットカードのデータを盗むことはほとんど不可能です。

問題は、ほとんどのカード会社や銀行がこの新しい技術をかなり早くカードに採用しているにもかかわらず、多くのカードリーダー、決済端末、ATMなどでは、依然として従来のスキミング方法が使われていることです。このようなシステムがある限り、スキマーは常にリスクとなる。今のところ、スキマーが装着されている可能性が最も高いATMやエアポンプ端末でチップ方式を採用しているところは見たことがありませんね。2018年の移行期間中に、決済端末にチップシステムがより多く搭載されることを期待します。

しかし、それまでは、この記事のステップを利用して、できるだけ自分の身を守ることができます。しかし、自分のデータと財政を守るためにできることをするのは、決して悪いことではありません。

この恐ろしい話題についてもっと知りたい、あるいはスキミングされたハードウェアの写真を見たい方は、Krebs on SecurityのBrian Krebs氏の「Allabout Skimmers」シリーズをご覧になってください。2010年の記事も多く、現時点では少し古いですが、今日の攻撃にも通じる内容ばかりなので、興味のある方は読んでみてください。

写真提供：Aaron Poffenberger on Flickr, Nick v on Flickr