私は、クレジットカードやデビットカードの安全性がいかに低いかを実感した瞬間を鮮明に覚えています。 誰かが市販のUSB磁気ストリップリーダーをコンピュータに接続し、キーボードとして認識させていたのです。 彼らはワープロを開き、カードを読み取った。 すると、テキストファイルに数字が次々と表示された。 これで終わりだ。 カードの情報が盗み出されたのです。
同じ技術が成熟し、小型化されました。 小型の「スキマー」をATMや決済端末に取り付け、カードの磁気ストリップ(「マグストライプ」と呼ばれる)から情報を抜き取ることができます。 さらに小さな「シマー」をカードリーダーに取り付けて、新しいカードのチップを攻撃します。 最近では、決済サイトからデータを盗む「e-スキミング」と呼ばれるデジタル版も登場しています。
スキマーとは
スキマーとは、正規のカードリーダーの中に隠された小さな悪意のあるカードリーダーで、カードを通したすべての人からデータを採取します。 しばらくの間、ハードウェアにデータを蓄積させた後、窃盗犯は侵害されたマシンに立ち寄り、盗まれたデータをすべて含むファイルを受け取ります。 その情報を使って、クローンカードを作ったり、詐欺を働いたりすることができるのです。
ATMの内部に侵入することは難しいため、ATM用のスキマーは既存のカードリーダーの上に設置されることもあります。
ATMの内部に侵入するのは難しいため、ATMスキマーは既存のカードリーダーの上に設置されることもありますが、ほとんどの場合、口座にアクセスするための暗証番号を記録するために、近くに隠しカメラを設置します。 カメラは、カードリーダーの中にあったり、ATMの上部に取り付けられていたり、あるいは天井に取り付けられていたりします。
この写真は、実際にATMで使用されているスキマーです。 あの奇妙でかさばる黄色いものが見えますか? あれがスキマーです。 機械の他の部分と色や素材が違うので、簡単に見つけることができますが、他にも目印となるものがあります。 カードを挿入するスロットの下には、機械のプラスチックハウジングに盛り上がった矢印があります。 グレーの矢印が、黄色いリーダーの筐体にとても近く、ほとんど重なっているのがわかります。 本物のカードリーダーであれば、カードスロットと矢印の間にある程度のスペースがあるので、これは既存のリーダーの上にスキマーが設置されたことを示しています。
ATMメーカーは、この種の不正行為を甘く見ていません。最近のATMは、ATMに挿入されたものや取り付けられたものを検知するレーダーシステムを搭載するなど、不正行為に対する強固な防御機能を備えています。
Are Skimmers Still a Threat?
この記事を更新するにあたり、Kaspersky Labs社に問い合わせたところ、同社の担当者は、スキミング攻撃は減少傾向にあるという驚くべきことを話してくれました。 “
カスペルスキーの広報担当者は、より大きなトレンドを示すものとして、European Association for Secure Transactions (EAST) による EU の統計を引用しました。 EASTは、スキマー攻撃が過去最低となり、2020年4月の1,496件から同年10月には321件に減少したと報告しています。 COVID-19の影響もあるかもしれませんが、それにしても劇的な変化です。
もちろん、スキミングがなくなったわけではありません。 最近では、2021年1月にニュージャージー州で大規模なスキミング詐欺が発覚しました。 この詐欺では、1,000人以上の銀行の顧客が攻撃され、犯人は150万ドル以上を奪おうとしました。
From Skimmers to Shimmers
米国の銀行が世界に追いつき、チップカードの発行を開始したとき、消費者にとっては大きなセキュリティ上の恩恵がありました。 このチップカード(EMVカード)は、旧来の決済カードの痛々しいほど単純な磁気ストライプよりも強固なセキュリティを提供します。
マグストライプリーダーの上に設置されたスキマーの代わりに、シマーがカードリーダーの中に設置されました。 この装置は非常に薄いもので、外からは見えません。 カードを挿入すると、シマーはカードのチップからデータを読み取ります。これは、スキマーがカードの磁気ストライプのデータを読み取るのと同じです。
しかし、いくつかの重要な違いがあります。一つは、EMVには統合されたセキュリティが搭載されているため、攻撃者はスキマーと同じ情報しか得られないということです。 セキュリティ研究者のブライアン・クレブス氏は自身のブログで、「チップ対応カードでは、通常、カードの磁気ストライプに保存されているデータがチップ内に複製されていますが、チップには磁気ストライプにはない追加のセキュリティコンポーネントが含まれています」と説明しています。 つまり、窃盗犯はEMVチップを複製することはできませんが、チップのデータを使って磁気ストライプを複製したり、その情報を他の不正行為に利用したりすることができるのです。
私たちが話を聞いたカスペルスキーの担当者は、チップカードに対する自信を明確に示していました。 “EMVはまだ壊れていない」とカスペルスキーはPCMagに語りました。 “
本当の問題は、シマーが被害者のマシンの中に隠されていることです。 下の写真のシマーは、カナダで発見され、RCMP に報告されました (Internet Archive link)。 これは、薄いプラスチックシートに印刷された集積回路に過ぎません。
Image credit: Coquitlam RCMP
Check for Tampering
POS機器の改ざんをチェックするのは難しいことです。 ほとんどの人は、スーパーのレジに並んでいる間に、読み取り機をじっくりとチェックすることはできません。 また、ATMは放置されることがないため、窃盗犯に狙われにくいという特徴があります。 一方、ATMは前庭や屋外に放置されることが多いので、狙われやすいのです。
この記事ではほとんどATMについて説明していますが、ガソリンスタンドや公共交通機関の支払いステーションなど、無人の機械も攻撃の対象になることを覚えておいてください。
ATMに近づいたら、ATMの上部、スピーカーの近く、画面の側面、カードリーダー本体、キーボードなどに、明らかに改ざんされた形跡がないかを確認してください。 色や素材が違っていたり、グラフィックが正しく配置されていなかったりと、何かが違っていたら、そのATMは使わないでください。
銀行に行ったら、隣のATMをすぐに見て比較してみるのもいいでしょう。 明らかな違いがある場合は、どちらも使わずに銀行に報告してください。 例えば、片方のATMにはカードを入れる部分が点滅していて、もう片方のATMには何も入っていない場合、何かが間違っていると考えられます。 ほとんどのスキマーは既存のリーダーの上に接着されているため、点滅するインジケーターが見えなくなります。
キーボードが厚すぎたり、中心からずれていたりして、しっくりこない場合は、PINスナッチ用のオーバーレイがあるかもしれません。 そのようなキーボードは使用しないでください。
他にも、カメラを隠すための穴や、急遽機械を修理したときの接着剤の泡など、改ざんの痕跡がないかどうかを調べてみてください。 ATMは頑丈に作られており、一般的に緩い部分はありません。 カードリーダーのような突起物は押してみましょう。 キーボードがしっかりと固定されているか、一体化しているか。
Think Through Your Transaction
デビットカードの暗証番号を入力するときは、必ず誰かに見られていると思ってください。 もしかしたら肩越しかもしれませんし、隠しカメラがあるかもしれません。 ATMや決済機に問題がないように見えても、暗証番号を入力するときは手を隠してください。 暗証番号の入手は不可欠です。 暗証番号がなければ、犯罪者が盗んだデータを使ってできることは限られてしまいます。
犯罪者は、悪意のあるハードウェアを設置したり、盗んだデータを収集したりするところを見られたくないので、あまり人通りの多くない場所にあるATMにスキマーを設置することがよくあります(例外もありますが)。 一般的に、屋外に設置されたATMよりも屋内に設置されたATMの方が安全とされています。これは、攻撃者が屋外に設置されたATMに人知れずアクセスできるからです。 利用する前に一度立ち止まって、ATMの安全性を検討してみてください。
可能な限り、カードの磁気ストライプを使用して取引を行わないでください。 現在、ほとんどの決済端末では、マグストライプを予備として使用しており、カードをスワイプする代わりにチップを挿入するよう促されます。
これらの非接触型決済サービスは、クレジットカード情報をトークン化するので、実際のデータが流出することはありません。
これらの非接触型決済サービスでは、クレジットカード情報がトークン化されるため、実際のデータが流出することはありません。 サムスンの一部の機種では、携帯電話を使ってマグストライプ決済をエミュレートすることができます。 この技術はMSTと呼ばれていますが、現在は廃止されています。
マグストライプを使用しなければならない場面としては、ガスポンプでの燃料の支払いがあります。 これは、多くがEMVやNFCのトランザクションをまだサポートしておらず、攻撃者が気づかれずにポンプにアクセスできるため、攻撃の対象になりやすいのです。 店内に入ってレジで支払いをする方がはるかに安全です。
Recommended by Our Editors
From Skimmers to Shimmers to E-Skimmers
驚くことではありませんが、e-スキミングと呼ばれるデジタル版のスキミングがあります。 2018年のブリティッシュ・エアウェイズのハッキングは、明らかにそのような戦術に大きく依存していました。
BitdefenderのThreat Research and Reporting DirectorであるBogdan Botezatu氏の説明によると、e-skimmingとは、攻撃者が決済サイトに悪意のあるコードを挿入し、カード情報を奪うことです。
「これらのe-スキマーは、オンラインストアの管理者アカウントの認証情報やストアのウェブホスティングサーバーを侵害するか、あるいは直接侵害することで追加されるので、彼らはソフトウェアの汚染されたコピーを配布します」とBotezatu氏は説明しています。
「e-スキミング攻撃は、検知を逃れることに長けてきています」とボテザツ氏。 “
この種の攻撃に対抗するには、最終的には店舗を運営している企業にかかっています。 しかし、消費者が自分自身を守るためにできることもいくつかあります。 ボテザツ氏は、消費者が自分のコンピュータにセキュリティ・スイート・ソフトウェアを使用することを提案しました。セキュリティ・スイート・ソフトウェアは、悪意のあるコードを検出して、情報の入力を防ぐことができるそうです。
代わりに、バーチャル・クレジットカードを使えば、クレジットカード情報の入力を完全に避けることができます。 バーチャル・クレジットカードとは、実際のクレジットカード・アカウントにリンクされているダミーのクレジットカード番号です。 これは、実際のクレジットカードのアカウントにリンクされているダミーのクレジットカード番号で、万が一漏洩しても、新しいクレジットカードを作る必要はなく、新しいバーチャル番号を作成するだけで済みます。 シティのように、この機能を提供している銀行もあるので、利用できるかどうか聞いてみましょう。 銀行からバーチャルカードを入手できない場合は、Abine Blur社が加入者向けにマスク付きのクレジットカードを提供しており、同様の機能を持っています。
もうひとつの方法は、カードアラートに登録することです。 一部の銀行では、デビットカードが使用されるたびに、携帯電話にプッシュアラートを送信してくれます。 これは、不正な購入をすぐに見分けることができるので、便利です。 お使いの銀行に同様のオプションがある場合は、それをオンにしてみてください。
Stay Aware
たとえ正しいことをして、すべての支払機の隅々まで確認したとしても(並んでいる後ろの人たちを困らせたとしても)、詐欺の標的になる可能性があります。 しかし、安心してください。 速やかにカード発行会社(クレジットカードの場合)や銀行(口座の場合)に盗難の報告をすれば、あなたが責任を負うことはありません。 お金は戻ってきます。
また、あなたにとって意味があるなら、クレジットカードを使うようにしてください。 デビットカードの取引はすぐに現金が振り込まれるため、時に修正に時間がかかることがあります。 クレジットカードの場合は、いつでも取引を中止したり、取り消したりすることができます。 そのため、ATMやPOS端末のセキュリティを強化する必要があります。
最後に、携帯電話にも注意を払ってください。 銀行やクレジットカード会社は、一般的に非常に積極的な不正検知ポリシーを採用しており、何か不審な点があると、通常は電話やSMSですぐに連絡してきます。 迅速に対応することで、攻撃を未然に防ぐことができますので、常に携帯電話を手放さないでください。
覚えておいてほしいのは、ATMやクレジットカードの読み取り機に何か違和感を感じたら、使わないことです。
覚えておいてほしいのは、ATMやクレジットカードの読み取り機に違和感を感じたら、使わないことです。
Fahmida Y. Rashid がこの記事に貢献しました。 Rashidがこの記事に貢献しました
。