スキミングとは?カード情報を盗む手口・磁気とICの安全性・被害の発見法と対策を図解で解説
ヒナコ
「スキミング」ってATMにカードを入れたときに情報が盗まれるんですよね?日本でもまだ起きているんですか?
トシ
起きている。スキミングはカードの磁気ストライプに記録された情報を、特殊な装置(スキマー)で読み取る犯罪だ。ATMだけでなく、飲食店や小売店のカード端末に仕掛けられるケースもある
ヒナコ
ICチップ付きのカードなら安全だと思っていたんですけど、それでも被害に遭うことはあるんですか?
トシ
ICチップ自体のスキミングは極めて困難だ。チップ内のデータは暗号化されており、磁気ストライプのように単純にコピーできない。しかし問題は、多くのカードが「ICチップと磁気ストライプの両方」を搭載していることだ。ICチップ非対応の古い端末では磁気ストライプが使われるため、そこがスキミングの標的になる。カードの安全性は最も弱い部分で決まる
スキミングの仕組み──磁気ストライプから情報を抜き取る
スキミング(Skimming)は、クレジットカードやデビットカードの磁気ストライプに記録された情報を、「スキマー」と呼ばれる不正な読取装置でコピーする犯罪手口だ。磁気ストライプにはカード番号・有効期限・名義人名などが暗号化されずに記録されており、スキマーを通すだけで情報をそのまま読み取ることができる。
スキマーで読み取った情報は、ブランクカード(空のカード)に書き込まれる。こうして作成された偽造カードは、見た目は普通のカードと変わらない。暗証番号も同時に盗まれている場合はATMで現金を引き出され、店舗の磁気端末では対面決済に使われる。
スキミングは「物理的にカード情報を盗む」手口であり、フィッシング詐欺(偽サイトやメールでカード番号を入力させる手口)とは犯罪の経路が根本的に異なる。スキミングは対面・物理接触が前提、フィッシングはオンラインが前提だ。フィッシング詐欺の手口と対策は不正利用対策ガイドで解説している。
日本クレジット協会の統計では、スキミングによる被害は「偽造カードによる不正利用被害」として集計されている。ICチップの普及により偽造カード被害は減少傾向にあるが、ゼロにはなっていない。特に海外ではIC非対応端末が残存する地域があり、渡航先でのスキミング被害は依然として報告されている。
カード情報は一度盗まれると、犯罪者のネットワークを通じて転売されることもある。スキミングから偽造カードが使われるまでに数日〜数ヶ月のタイムラグがあるため、被害に気づきにくいのも特徴だ。
スキミングの3つの手口
① ATM型スキミング
ATMのカード挿入口にスキマー(薄型の読取装置)を被せるように設置する手口だ。正規のカード挿入口の上にスキマーが取り付けられており、カードを挿入する際に磁気データがコピーされる。同時にATMの上部やテンキー周辺に小型カメラを設置し、暗証番号の入力を盗撮するケースが多い。
銀行のATMコーナーよりも、コンビニATMや海外の単独ATMで被害が多く報告されている。人目が少ない場所ほどスキマーの設置・回収がしやすいためだ。見分け方は、カード挿入口に不自然な出っ張りや取り付け跡がないか確認すること。挿入口を軽く触ってグラつくようであれば、スキマーが取り付けられている可能性がある。
② 店舗型スキミング(ハンドヘルド型)
飲食店やガソリンスタンドなどで、店員がカードを預かった際に手持ちのスキマーでカード情報を読み取る手口だ。カード端末とは別に、ポケットサイズのスキマーを隠し持っている悪意ある店員が、カードを受け取ったわずかな時間でデータを読み取る。
カードが手元から離れる瞬間が最もリスクが高い。日本ではテーブル会計(カードを店員に渡す方式)が一般的なため、このリスクが残っている。欧米ではテーブルにカード端末を持ってきて客の目の前で処理する方式が主流であり、この点では日本の商慣習のほうがリスクが高い。
対策は、カードを自分の目の届く範囲で処理してもらうことだ。可能であればタッチ決済やモバイル決済(スマホ決済)を使い、物理カードを手渡さないようにする。
③ 非接触型スキミング(電波スキミング)
NFC(近距離無線通信)対応カードに対し、専用のリーダーを近づけて電波経由でデータを読み取る手口だ。満員電車やエレベーターなど、他人と密接する場面で実行される可能性が指摘されている。財布やポケットに入れたままのカードに対して、カバンの中から特殊なリーダーを近づけるイメージだ。
ただし、実際の被害報告は極めて少ない。NFC決済で電波経由で読み取れる情報は限定的であり、完全なカード情報のコピーにはならないため、偽造カードの作成には不十分とされている。ATM型や店舗型に比べて現実的なリスクは低い。
不安な場合はスキミング防止カードケース(電波遮断素材・RFIDブロッキング機能付き)を使うことで対策できる。ただし過度な心配をするよりも、ATM型・店舗型スキミングへの対策を優先するほうが合理的だ。
磁気ストライプとICチップの安全性の違い
磁気ストライプの弱点
磁気ストライプにはカード番号・有効期限・名義人名などが暗号化されずに記録されている。スキマー(読取装置)を通すだけで簡単にデータをコピーでき、そのデータをブランクカードに書き込めば偽造カードが出来上がる。1960年代に実用化された技術がベースであり、セキュリティ面では根本的に脆弱だ。
磁気ストライプの読取技術は単純であるため、スキマーの製造コストも低い。犯罪者にとっては「低コスト・高リターン」の手口であり、それがスキミング犯罪が長年にわたって続いてきた背景だ。
ICチップの安全性
ICチップ内のデータは暗号化されている。さらに取引ごとに一回限りの暗号コード(動的認証データ)が生成されるため、仮にチップのデータを読み取ったとしても、次の取引では別の暗号コードが必要になる。つまり偽造カードを作成しても、そのまま繰り返し使うことはできない。
ICチップ対応端末(EMV端末)での取引では磁気ストライプを使わないため、スキミングのリスクが大幅に低減される。日本国内のほとんどのATMと加盟店がICチップ対応端末を導入済みだ。
「両方搭載」が残すリスク
現在流通しているカードの多くは、ICチップと磁気ストライプの両方を搭載している。ICチップ対応端末が普及した国内では問題ないが、IC非対応の古い端末が残存する海外の一部地域では、磁気ストライプが代替的に使用される。この「フォールバック」がスキミングの余地を残している。
カードの安全性は「最も弱い部分」で決まる。ICチップがいくら堅牢でも、磁気ストライプが使われる場面がある限り、そこがスキミングの標的になる。磁気ストライプを完全に廃止した「チップオンリーカード」を発行する動きも一部のカード会社で始まっているが、世界的な普及にはまだ時間がかかる。
スキミング被害の発見方法
利用明細の定期チェックが最重要
スキミング被害は「カードが手元にあるまま」情報だけが盗まれるため、カードの盗難・紛失と違って気づきにくい。偽造カードが実際に使われるまでにタイムラグ(数日〜数ヶ月)があるため、スキミングされた瞬間にはまったく気づかないのが普通だ。
利用明細を毎月確認し、身に覚えのない取引がないかチェックするのが最も確実な発見方法だ。特に海外旅行から帰国した後の数ヶ月間は、旅行先でスキミングされた可能性を考慮して念入りにチェックする。
アプリ通知の活用
カード会社のアプリで「利用速報」をONにすると、決済のたびにプッシュ通知がスマホに届く。自分が使っていないのに通知が届いた場合、それはスキミングや情報漏洩による不正利用の可能性がある。即座にカード会社に連絡してカードの利用停止を依頼する。
発見が早ければ早いほど被害額を最小化できる。不正利用補償の申請にも届出の迅速さが求められるため、アプリ通知は「スキミング被害の早期警報システム」として機能する。
不審なATMの見分け方
ATMを使う前に、以下のポイントを確認する習慣をつける。カード挿入口に不自然な出っ張り・ぐらつき・接着剤の跡がないか。テンキー周辺に小型カメラやピンホール(極小の穴)がないか。ATM本体と色や質感が異なるパーツが取り付けられていないか。
少しでも違和感があれば、そのATMを使わず別のATMを利用する。海外ATMは特にリスクが高い。銀行の建物内に設置されたATMは、スキマーの設置・回収が人目につきやすいため相対的に安全だ。路上や商業施設の片隅に設置された単独ATMはリスクが高い。
ヒナコ
もしスキミング被害に遭ってしまったら、お金は返ってくるんですか?
トシ
多くのカード会社は「不正利用補償」を付帯している。届出日から60日前までさかのぼって補償してくれるのが一般的だ。ただし届出が遅れると補償期間から外れる可能性がある
ヒナコ
60日前まで…じゃあ明細を3ヶ月見ていなかったら手遅れになることもあるんですか?
トシ
あり得る。だから利用明細の確認とアプリ通知は「スキミング被害に気づくための保険」として有効にしておく必要がある。そしてもう一つ。暗証番号の管理も重要だ。スキミングでカード情報が盗まれても、暗証番号が漏れていなければATMでの現金引出しは防げる。暗証番号の入力時は必ず手で覆い隠す。この基本動作が被害の拡大を防ぐ
予防策と被害に遭った場合の対応手順
予防策
ICチップ対応端末を優先して使う。ICチップ対応端末(EMV端末)での取引では磁気ストライプを使わないため、スキミングリスクが大幅に低減される。日本国内のほとんどの加盟店がIC対応済みだが、海外では非対応端末が残存する地域がある。
タッチ決済・モバイル決済を活用する。カードを端末に挿入しない、店員に手渡さないため、物理的なスキミングの機会をゼロにできる。スマホのモバイル決済(Apple Pay、Google Pay等)は、カード番号とは異なる「トークン」を使って決済するため、カード情報自体が加盟店に渡らない。
暗証番号入力時に手で覆う。ATMや店舗の端末で暗証番号を入力する際は、必ず手やもう一方の手で覆い隠す。スキミングでカード情報が盗まれても、暗証番号が漏れていなければATMでの不正引出しは防げる。
不審なATMを避ける。屋外の単独ATM、海外の無人ATMはスキマー設置のリスクが高い。銀行の建物内に設置されたATMを優先的に使う。カード挿入口の不自然な出っ張りやグラつきを確認する習慣をつける。
利用明細とアプリ通知を活用する。早期発見が最大の防御だ。利用速報をONにし、毎月の利用明細を確認する。海外旅行後は帰国後数ヶ月間を念入りにチェックする。
被害に遭った場合の対応手順(3ステップ)
Step 1:カード会社に即連絡し、カードの利用停止を依頼する。多くのカード会社は24時間対応の緊急ダイヤルを設けている。カードの利用停止が完了すれば、偽造カードでの追加被害を防げる。海外からの場合はカード裏面に記載の海外用緊急連絡先に電話する。
Step 2:不正利用補償の申請を行う。届出日から60日前までの被害が補償対象になるのが一般的だ。ただし暗証番号を他人に教えていた場合、カード裏面にサインがなかった場合などは補償対象外になるケースがある。カード会社の指示に従って必要書類を提出する。
Step 3:警察に被害届を提出する。カード会社から被害届の提出を求められることがある。最寄りの警察署またはサイバー犯罪相談窓口に連絡する。被害届は補償手続きの証拠としても機能する。
チャージバック(売上取消)の手続きが並行して進む場合がある。チャージバックの仕組みはチャージバックとは?で解説している。
【プロの視点】スキミングは「過去の犯罪」ではない
ICチップの普及により、スキミング被害は減少傾向にある。日本クレジット協会の統計でも、偽造カードによる不正利用被害額はピーク時から大幅に減少している。そのため「スキミングは過去の犯罪」と認識する人が増えている。
しかし現実はそう単純ではない。磁気ストライプはまだ多くのカードに搭載されており、海外ではIC非対応の端末が残存する地域がある。日本国内でも、古い決済端末を使い続けている加盟店はゼロではない。スキミングのリスクは減少しているが、消滅したわけではない。
さらに注意すべきは、犯罪者の手口が進化し続けていることだ。従来のATM設置型スキマーだけでなく、POS端末にマルウェアを仕込んでカード情報を抜き取る「デジタルスキミング」と呼ばれる手法も出現している。物理的なスキマーが不要になり、検出がより困難になっている。
消費者としてできることはシンプルだ。ICチップ対応端末やタッチ決済を使う、暗証番号入力時に手で覆う、利用明細を毎月チェックする。この3つの基本動作を習慣にしておけば、スキミングに限らず多くのカード犯罪に対する防御力が上がる。
次に読むべきページ
スキミングの手口と対策を理解したら、関連するカード決済・セキュリティの知識を補強しよう。
まとめ
スキミングはカードの磁気ストライプに記録された情報をスキマー(読取装置)で不正にコピーする犯罪手口だ。ATM型・店舗型・非接触型の3パターンがあり、ATM型と店舗型が被害の大半を占める。
ICチップ内のデータは暗号化されており、スキミングは極めて困難だ。しかし多くのカードがICチップと磁気ストライプの両方を搭載しているため、IC非対応端末が残る環境では磁気ストライプ経由のスキミングリスクが残る。
予防策はICチップ対応端末・タッチ決済の利用、暗証番号入力時の手覆い、利用明細の定期チェックの3つだ。被害に遭った場合はカード会社に即連絡してカードを利用停止し、不正利用補償の申請と警察への被害届を行う。
よくある質問
ICチップ付きカードでもスキミングされる可能性はある?
ICチップ自体のスキミングは暗号化技術により極めて困難だ。しかし同じカードに搭載されている磁気ストライプからは情報を読み取られる可能性がある。IC非対応の古い端末で磁気ストライプが使用される場面が、スキミングリスクの残る箇所だ。
スキミング被害に遭ったら全額補償してもらえる?
多くのカード会社は不正利用補償を提供しており、届出日から60日前までの被害が補償対象になるのが一般的だ。ただし暗証番号を他人に教えていた場合や、カードの裏面にサインがなかった場合などは補償対象外になるケースがある。補償条件はカード会社の規約を確認する。
海外旅行でスキミング被害を防ぐにはどうすればいい?
銀行の建物内に設置されたATMを優先的に使う、カードを店員に手渡さずタッチ決済を使う、暗証番号の入力時は必ず手で覆う、の3点を徹底する。海外ではIC非対応端末が残存する地域があるため、可能であればスマホのモバイル決済を主に使い、物理カードの使用を最小限にする。
「非接触型スキミング」は本当に起きる?
技術的には可能だが、実際の被害報告は極めて少ない。NFC決済で電波経由で読み取れる情報は限定的であり、偽造カードの作成には不十分とされている。不安な場合はスキミング防止カードケース(電波遮断素材)を使用する。ただし過度な心配よりも、ATM型・店舗型スキミングへの対策を優先するほうが合理的だ。
スキミング防止のためにカードを使わないほうがいい?
カード利用自体をやめる必要はない。ICチップ対応端末やタッチ決済を使えばスキミングリスクは大幅に低減される。現金にも紛失・盗難のリスクがあり、カード決済のほうが不正利用補償がある分、被害時の救済手段が充実している。適切な予防策を講じた上でカードを使い続けるのが合理的な選択だ。
出典・参考情報
- 一般社団法人 日本クレジット協会── クレジットカード不正利用被害の集計結果
- 警察庁── 生活安全の確保に関する統計
- 金融庁── クレジットカードの利用に関する注意喚起
リスクに関する重要事項:クレジットカードの利用は信用取引であり、支払いの遅延は信用情報機関に記録され将来の審査に影響する。不正利用補償の条件・補償期間はカード会社により異なる。利用前に会員規約を確認すること。
🛠 クレカ便利ツール