カードの不正利用:ATMを狙った犯罪ビジネスの今(その2)

ATMのスキミング詐欺に関する記事の第2弾です。今回は、スキミング機器を取り付けて現金を盗み出すまでの手口を紹介します。

前回の記事では、銀行のカードを狙う「詐欺師」が使う技術について解説しました。今回は、ATM犯罪のもう1つの側面、犯罪者が最も危険なスキミングをどう実行しているかについて見ていきます。

スキミングのアウトソース

スキミング犯罪の大部分は、プロでなくても実行できます。ただし、装置の設置など一部の作業はかなりのリスクを伴います。そのため、こうした仕事は「専門家」にアウトソーシングされることがあります。

手練れのプロがスキミング機器の設置にかかる時間は、30秒程度といいます。この作業が実行されるのは、入念な下準備、現場や監視カメラの分析などの情報収集、最も人気のない時間帯の特定が終わってからです。助手が標的のすぐ近くに控えていなければ、できない作業です。

skimmer-suspect

ATMにスキミング機器を設置する犯罪者。写真提供:wtsp.com

プロはなかなか隙を見せません。落ち着いた身なりの良い紳士を装い、「ATMに不審な点があったので、警察へ通報する前に勘違いかどうか確かめたかっただけ」と言うでしょう。こうなると、犯行の立証は難しくなります。接着剤や取り付け用器具を処分済みだとすれば、なおさらです。怪しいと思ったら何も触らず、すぐに警察へ通報してほしいと銀行側が言うのは、こうした事情からです。

スキミング詐欺師はATMだけでなく、そのほかの銀行カードを受け付ける端末にも関心を寄せています。たとえば、ガソリンスタンドの端末、駅の発券機、そして自動販売機などが挙げられます。これらはATMと違い、何か作業をしていても人から怪しまれず、ATMよりもセキュリティ対策がとられていません。

収穫行為

犯罪者はスキミング機器を設置すると、すぐさま次の作業に取り掛かります。それが、「収穫」です。時間を最大限有効に活用し、犯罪が発覚する前にできるかぎり多くのカードをコピーしなければなりません。銀行がスキミング行為に気付けば、収穫したカードの持ち主がカードの取引を停止する可能性が高くなるからです。状況を観察するため、ターゲットのATMが見えるカフェや車に共犯者を配置する必要があります。

ATMが「細工」されていることに誰も気付かなければ、電池が切れるまでスキミングが繰り返され、膨大な量のカード情報が犯罪者の手に渡ります

ATMが「細工」されていることに誰も気付かず、銀行の警備員も気付かないままであれば、電池が切れるまでスキミングが繰り返され、膨大な量のカード情報が犯罪者の手に渡ります。

その後、スキミング詐欺師は機器を取り外します。賢い犯人であれば、捕まるリスクを最小限に留めるため機器を放置します。いずれにせよ、盗んだカードから得られる利益は数千ドルに達するかもしれないのですから、スキミング機器のコストは十分賄えます。

コピーしたカードから現金を引き出すのは、この種の犯罪ビジネスから切り離された、高リスクの作業です。たびたびアウトソーシングされるのは、そのためです。たいていは、「ミュール」(ラバ)と呼ばれる人がこの作業を請け負います。

ミュールは、引き出した現金をスキミング詐欺師に渡し、約束の取り分をもらって自らの収入とします。それ以外にも、盗んだ磁気テープのデータ一式を購入し、(多くの場合)盗難場所とは違う国で単独犯行に及ぶミュールもいます。

昔ながらの対策は良策にあらず

なぜ銀行カードを使って現金を盗むのがこれほどまでに簡単なのでしょうか。主な理由は、そもそも銀行カードのセキュリティ技術が古いからです。磁気テープに対応した銀行カードが登場したのは、20世紀半ばで、かなり前のことです。当時はカード情報を盗んだりコピーしたりする機器など耳にすることはありませんでした。

なぜ銀行カードを使って現金を盗むのがこれほどまでに簡単なのでしょうか。主な理由は、そもそも銀行カードのセキュリティ技術が古いからです

 事実、磁気テープの記録データを守るのは、取引を証明するための短くて脆弱な暗証番号のみです。その後、より強力な保護技術もいくつか登場しましたが、それらはあくまでもオプションにすぎません。

もちろん、決済システム業者や銀行は長年、この問題の解決に取り組んできました。磁気テープとICチップの両方を搭載したEMVカードは、より安全性が高く、ヨーロッパですでに20年以上も利用されています。

ICチップと磁気テープには違いがあり、ICチップの場合、磁気テープと同じようにはコピーできません。また、ATMには一意のワンタイムキーを作成するためのカードチップが必要です。このキーは盗まれる可能性がありますが、次の取引で使うことはできません。

EMVカードの脆弱性はセキュリティリサーチャーから大量に報告されていますが、実際にそれを悪用するのは簡単ではありません。こうした技術の進歩によってスキミング詐欺師を廃業に追い込むことができるかもしれません。ただし、問題もあります。EMVカードへ移行するには、多くの業界関係者を巻き込み、時間とお金をかけた、複雑な作業が必要になります。

移行を実施する必要があるのは、決済システム業者、銀行、アクワイアラー(加盟店契約業者)、POS端末およびATMのメーカーなど、あらゆる関係業者です。このことから、先進国市場を含む多くの国では未だに昔ながらのEMV未対応カードが使われています。

もっとも、EMV対応カードからも現金を盗み取ることはできます。従来の端末との互換性維持や、再発行時の利便性の向上のため、ICチップを使わずに磁気テープのデータだけで取引を完了できることもあるからです。

European ATM Security Teamによると、スキミング詐欺が最も多いのは、国家規模でEMVの全面的な導入を進めている最中の米国です。アジアであればインドネシアとタイが、ヨーロッパではブルガリアとルーマニアが高リスクの国とされています。

銀行は、スキミング詐欺で盗まれたお金を補償してくれるかもしれません。特に、決済システム業者やATMメーカー、保険会社など、他の業者に責任転嫁できる場合はなおさらです。ですが、ほとんどはカード所有者の責任となるでしょう。そうした事例は多くあります。

スキミング詐欺にあわないための鉄則

あなたのカードがスキミング詐欺の標的に100%ならないための万全策はありませんが、リスクを軽減する方法はいくつかあります。

  1. お手持ちのカードがICチップ対応のEMVカードでなければ、使わないことをお勧めします。通常は銀行に申請すればEMVカードに変えてくれます。ICチップに対応しているからといって、100%安全が保証されるわけではありませんが、リスクを大幅に下げられます。
  2. SMSなどを使った取引状況通知サービスを利用可能な場合は、利用してください。盗難の発見が早いほど、お金を取り戻す可能性が高くなります。
  3. 頻繁に旅行しないのであれば、カードの利用地域を制限できるかどうか確認しましょう(海外に行く際は、渡航先の国を「有効」にするだけです)。この対策に効果があることは、ヨーロッパ各国で実証されています。
  4. 残高の多いカードは使わないでください。特に新しい場所(たとえば海外)では、取引の数が少ないほど、安全性も高まります。高リスクな状況でカードを使う場合は、利用限度額が低い別のカードを使いましょう。

  1. ATMを利用する際は、明るく安全な場所に設置されているATMを使いましょう。たとえば、銀行内に設置されたATMなどです。ショッピングセンターの一角にぽつんと設置されたATMは避けましょう。
  2. 暗証番号を入力するときは、できるかぎりATMの近くに立ち、入力パッドを手で覆いましょう。特殊な偽装パネルが設置されているのは稀で、カメラや隣の人に暗証番号が見える可能性の方が高いと言えます。特に高リスクな状況でカードを使ったあとは、(信頼できるATMを使うか銀行員に手助けをお願いして)定期的に暗証番号を変更しましょう。
  3. ATMやその周辺に不審な点がないか、注意しましょう。スキミング詐欺師すべてがプロというわけではなく、プロ仕様の機器を使うわけでもありません。もう1つ、ATMの近くに設置された特殊な「磁気テープクリーナー」に絶対にカードを通さないでください(不思議に思えるかもしれませんが、この単純な仕掛けに多くの人が騙されています)。
  4. ATMから出てきた紙幣を数えましょう。取り出し口に仕掛ける特殊な「トラップ」では、1枚だけ紙幣を抜き取ることができます。ATMからカードが戻ってこない場合も、詐欺の可能性があります。ATMから離れずに、すぐに銀行員を呼び出してください。こうした詐欺の手口は、EMVカードが導入されてからヨーロッパで大流行しました。カード詐欺師はICチップ対応のカード自体を盗もうとしているからです。
  5. レストランやお店で支払う際に、カードから目を離さないでください。カードをコピーする小型の手動スキャナーはいくつも出回っています。また、暗証番号は簡単に盗み見ることもできます。

  1. 知らない人にカードを見せないでください。また、絶対にカードの写真を誰かに送ったりネットに投稿したりしないでください。たとえ片面を撮った写真でもです。昔からあるWebサイトの多くは、(SMSのワンタイムパスワードによる)2段階認証はもちろんのこと、カードの裏側に記載されたCVV2コードなしで決済できます。

常に警戒を怠らないでください。カードは便利ですが、その便利さがあだとなることがあります。破産して後悔するよりも、滑稽で被害妄想の強い人になる方がましということを覚えておきましょう。

ヒント

ホームセキュリティのセキュリティ

最近では様々な企業が、主にカメラなどのスマートなテクノロジーを活用したホームセキュリティサービスを提供しています。しかし、セキュリティシステムは侵入者からの攻撃に対してどの程度セキュアなのでしょうか?

新着記事をメールでお知らせします