スキミングって何?対応策は?クレカを安全に使うためにすべきこと

スキミングイメージ

「スキミングってどんな犯罪? 自分のカードが大丈夫か不安……」
「被害にあわないための対策があれば教えて!」

クレジットカード犯罪の中では比較的有名な「スキミング」という手口。言葉は知っていても、実際にどういった方法なのか、どうすれば防げるのかなどを理解している方は少ないでしょう。

しかし、だからといって「危ないからクレジットカードをもたない」というのは現実的ではなく、快適かつ便利な生活を送るためには正しい知識と対策を持っておくことが欠かせません。この記事では、カード被害の中でも代表的な「スキミング」の手口とその対策について詳しく説明していきます。

※価格の表記に関して、特に指定がないもの以外は税抜き表記となっています。

近年増加しているカード犯罪「スキミング」を理解しよう

まずは、「スキミング」と呼ばれる手口について正しく理解しましょう。そうすれば対策も立てやすく、いたずらに不安を感じる必要もなくなるはずです。

スキミングとは?スキミングの手口と注意点

クレジットカード情報を読み取る際には、「スキマー」と呼ばれる装置が使われます。例えばカードで会計をするときには本来の売上情報を計上するためのCAT(カード端末機)とスキマー、合計2回にわたってカードを機械に通す必要があります。

対面でカードを利用するときにはスキマーが使えないので、以前は飲食店のテーブル会計など「カードを店員に預けるケース」が狙われていました。しかし手口も巧妙になり、次の表にあるようにATMやお店のCATにスキマーを内蔵させるような手口も発生しています。

スキマーの種類 特徴
単体型の小型タイプ タバコの箱程度の大きさでスキミングのなかではもっとも原始的なタイプ。数千円で用意できる。
CAT接続タイプ お店のレジ付近の見えない場所などに設置し、ケーブルなどでCATと接続するタイプ。カードをCATに通すと、カード会社だけでなくスキマーへもデータが転送されてしまう。無線で近くのパソコンへデータを送信するケースもある。
イソギンチャクタイプ CATのリーダー部分やATMのカード差し込み部分の上から被せるタイプ。CATやATMにカードを通すと一緒にスキマーも通してしまう。CAT接続型のように、無線でデータ送信できるものもある。
ATM内蔵タイプ ATMのケーブルとスキマーをつなぎ、ホストコンピューターに送るデータを盗み取るタイプ。同時に操作画面が移る小型カメラを設置することが多く、カード情報と暗証番号の両方を狙う。
非接触型 基本的に非接触で決済できるSuicaやnanacoといった電子マネーなどを対象にしたタイプ。カードを直接スキマーに通さなくてもスキミングができてしまうが、現状では数センチメートルまで近づく必要があったり、ターゲットのカードのチャージが低額になりがちだったりという弱点があり、現段階では犯罪での実用性が低い。

もっとも原始的な小型のスキマーは、空き巣やスリなどの際、またスパ・ジム・ゴルフ場などの施設で使われる傾向があります。居酒屋などの飲食店で上着に財布を入れたままハンガーにかけてしまう、といった行為は危険です。空き巣やスリにスキミングだけされ、現金やカードは財布ごとそのまま戻されていたら、被害にはまったく気づかないでしょう。

またスパやゴルフ場などの暗証番号式ロッカーの操作パネルに小型カメラを仕掛けられていた場合、誰もいない隙にカメラで確認した暗証番号でロッカーを開けられ、クレジットカードやキャッシュカードをスキミングされてしまうケースもあります。必要以上にキャッシュカードやクレジットカードを持ち歩かないようにしましょう。

特に海外でクレジットカードを使うときには、カードが何回も機械に通されていないか、見えないところで操作をしていないか注意すべきです。国内であっても店員に不用心にカードを預けたりせず、対面でカード決済をするように気をつける必要があります。

データでみるクレカ不正利用の被害状況

一般社団法人日本クレジット協会の資料(『クレジットカード不正利用被害の発生状況』)によると、クレジットカードの不正利用による被害額は235億4000万円(2018年)と報告されています。金額が大きすぎてあまりピンとこないかもしれませんが、表にすると不正利用の発生状況についての動きが見えてきます。

<クレジットカード不正利用被害の発生状況>(単位:億円)
被害額 偽造カード被害額
(構成比)
番号盗用被害
(構成比)
1997年 188.0 12.0(6.4%)
2000年 308.7 140.2(45.4%)
2003年 271.8 164.4(60.5%)
2009年 101.6 49.2(48.4%)
2013年 78.6 25.8(32.8%)
2014年 114.5 19.5(17.0%) 67.3(58.8%)
2018年 235.4 16.0(6.8%) 187.6(79.7%)

1997年に188億円だったカード不正利用被害額は、偽造カードの被害とともに増加。2000年にピークを迎え、いったん減少していきます。偽造カード被害額は少し遅れて2003年にピークがあり、以降は減少。当時、スキミングの不正利用は偽造カードによるケースが多かったため、スキミングの犯罪被害がどれほど多かったのかがうかがい知れます。

そしてクレジットカードの不正利用被害は2013年まで減少していたにもかかわらず、2014年から急増。2018年には2013年の被害額(78億6000万円)の約3倍にもなる235億4000万円まで増えています。
これには、2013年までは個別に発表されていなかったクレジットカードの番号盗用被害が大きく関係しているようで、その被害額と構成比が急増していることがわかります。

インターネット通販などの電子商取引が普及し、クレジットカード情報さえあればカード決済ができる今日、わざわざ偽造カードを作らなくても不正利用できる手段が増えたことが原因の一つとも考えられます。
またバーコード決済やQRコード決済をはじめとしたスマホ決済についても、参入企業と利用者が増加しているなかで、新たなクレジットカードの不正利用手段として使われています。

スキミングの被害に遭わないようにするには?

私たちの生活のあらゆるシーンで、スキミングの脅威にさらされていることはご理解いただけたと思います。続いて、「被害にあわないためにできること」を確認していきましょう。

スキミングの被害を回避するための対応策

  1. スキミングをされないために注意すべきこと
    ・カードはきちんと管理し、他人には貸さない
    ・スパやジムなど、財布を手放す場所へ行く場合はなるべくカードをもっていかない
    ・財布は目から離さない、カードを放置しない
    ・カードを使うときは店員に預けない、店員に不審な点がないか注意しておく
  2. 暗証番号を守るために注意すべきこと
    ・暗証番号を打ち込むときはもう片方の手で隠すようにする
    ・暗証番号は推測されにくい数字に設定し、危険を感じた場合には変更する
  3. ATMを使うときに注意すべきこと
    ・なるべく銀行に設置してあるATMを使い、できなければ人の目が多い場所のATMを使う
    ・観光客が多い地域では特に注意し、人目につきにくい場所のATMは避ける
    ・カード挿入口をよく確認し、出っ張っていないか、他の部分と素材や色が異なる装置がついていないかなどをチェックし、怪しい場合にはカード挿入口を触ってグラつきなどを確かめる

ATMを狙ったスキミングでは、同時に暗証番号も狙われています。小型カメラで操作画面を盗撮している可能性を考え、カメラに映らないようできるだけ隠して操作することをおすすめします。

特に海外へ行ったときには注意が必要です。カードをきちんと管理し、万が一スキミングされたとしても暗証番号やセキュリティコードまで盗まれていなければ、被害に遭う可能性は低くなるでしょう。

知っておきたいカード会社のセキュリティ対策

悪質なカード不正利用に対し、クレジットカード会社もセキュリティ対策を講じています。どんなものがあるのか、見ていきましょう。

(1)ICチップ付きカード

旧来の裏面に磁気テープを付けていたカードではテープ部分に記録できる情報量が少なく、70文字程度でした。これでは、スキミングする側がコストや時間もあまりかけずに情報を入手できてしまいます。そういった背景から、カード会社はICチップを搭載させた「セキュリティに優れたカード」を発行するようになりました。

ICチップには2000文字以上の情報を記録できるため、情報の暗号化により解読しにくくできるというメリットがあります。2001年にUCカードと三井住友VISAカードがIC化を開始し、その後各カード会社もIC化に追随しました。

とはいえインフラ整備が追いついておらず、CATのIC対応ができていない店舗がまだあるため、いまだにカードの裏面には磁気テープが付いているのが現状です。

しかし2020年の東京オリンピック・パラリンピック開催に向けて政府も対策に乗り出しており、近い将来にはカードを扱うすべてのお店でIC対応になるとされています。

(2)カード不正利用検知システム

各カード会社では、過去の不正利用パターンに似た利用や不正が疑われる利用があった場合にカード決済を保留し、カードの契約者本人に確認が取れるまでカードの利用を停止しています。この仕組みを「カード不正利用検知システム」といいます。

「日本でカード利用があった直後に海外でもカードの利用があった」「換金性が高い商品を複数点購入しようとした」「換金性の高い商品を頻繁に買おうとしている」など、不審な利用がないかを24時間監視。必要に応じてカード会社のスタッフが契約者本人に確認の連絡をくれます。

(3)利用通知メール

カード会社によっては、カードの利用があったときにメールで知らせてくれるサービスがあります。万が一自分が使っていないにもかかわらず利用通知メール来た場合には、不正利用にいち早く気づくことができます。

自分でもできる、スキミング防止対策

カード会社のセキュリティ対策にあわせて、「自分でもできる対策を講じていくこと」が、もっともリスクを減らせる方法といえるでしょう。
例えば、非接触タイプのICカードのスキミングを防ぐグッズ・アイテムを使用するのもひとつの手です。

例えばSuicaなど交通系の非接触ICカードをすぐ取り出せるようにカバンに付けていると、その近くにスキマーをかざすだけでスキミングができてしまいます。カバンや財布にしまっていたとしても、スキマーとカードの距離が近ければスキミングは可能なため、そのリスクを回避するためのアイテムが販売されています。
代表的なものは、以下の2種類です。

(1)スキミング防止カードケース

電磁波を遮断する特殊な素材で作られたカードケースです。カード1枚だけを入れる薄型のもの、手帳のような形でカードを何枚も格納できるもの、財布としても使えるものなどがあります。

(2)スキミング防止カード

カードと重ねて財布に入れておくだけで非接触のスキミングからカード情報を守ってくれる、カード型のタイプです。スキマーを近づけても、スキマーの電磁波を反射させたり吸収させたりしてスキミングを不可能にしてくれます

「セキュリティの高いカード」の選び方

スキミング防止カードケースやスキミング防止カードを利用するのも重要ですが、そもそも「セキュリティの高いカード」を選ぶことでもリスクを減らすことにつながります。以下のような特徴のカードを選ぶとよいでしょう。

  • 磁気テープよりもスキミングされるリスクが低いICチップのカード
  • インターネットでの不正利用が発覚した場合に支払いが免除される「オンラインプロテクション(インターネットショッピング不正利用補償)」が付帯しているカード
  • クレジットカードのカード番号や有効期限を守れるインターネットショッピング専用のカードやプリペイド式のカード

以下では、安全性が高いクレジットカードをいくつかご紹介します。

アメリカンエキスプレスグリーンカード 三井住友VISAクラッシックカード オリコプリペイドカード
年会費 1万2000円 1250円 なし
特徴 ・世界中の利用を24時間監視し、不正を早期発見する不正利用検知システムを採用。不審な利用があればすぐに連絡してくれる。
・空港ラウンジの利用や手荷物宅配サービスなど独自の会員サービスがあり、海外旅行が多い方でも安心。
・返品にも対応した補償やオンラインプロテクションが付帯されている。
・顧客のカード利用の傾向を分析し、不正利用のパターンに似ているときや不審な利用があった場合にはアラートが上がり、人間の目でチェックしている。
・クレジットカードの情報を守れるインターネットショッピング専用カードも発行しており、使い分けることでより安全性を高められる。
クレジットカードのように16桁のカード番号と有効期限やセキュリティコードがあり、VISAやMastercardが使えるお店でクレジットカードのように使うことができる。
・プリペイド式なので。万が一被害に遭ってもチャージしておいた金額以上の被害が出ない。
・会員ページにて利用をロックできるので、使わないときはロックすることでより安全性が高くなる。

オンラインプロテクションが付帯していなくても、不正利用の事実がはっきりした場合には補償してくれるカード会社も多いようです。また逆に、オンラインプロテクションがあっても契約者が利用していないと証明ができない場合には補償されないこともあります。
セキュリティの高いカードであっても取り扱いは慎重にし、規約に違反しないことは基本といえるでしょう。

被害にあってしまった場合はどうしたらいい? 対処法や保険・補償について

いくら予防策を講じていても、リスクをゼロにすることはできません。では、カード不正利用の被害にあってしまった場合はどうすればいいのでしょうか。

被害に気づいたらまずはなにをすべきか

スキミングなどの不正利用が判明した場合、なによりもまずカードの裏面に書いてある連絡先へ電話し、カードの利用を停止してもらう必要があります。カードの不正利用に関しては、カードに付帯されている盗難保険で補償してもらえるケースも少なくありません。慌てずカード会社の指示に従って書類などの手続きを進めましょう。

  1. カード会社に連絡してカードを止める手続きをする

  2. 警察に連絡し、不正利用のおそれがあることを伝える

  3. 所定の書類をカード会社に提出し、被害状況の調査に協力する

  4. 調査の末、不正利用が認められた場合は請求が取り消される

保険で補償してもらえないケース

盗難保険があっても、必ず保険で補償してもらえるとは限りません。注意点を表にまとめたので確認してみましょう。

補償の対象にならないケース 具体的な例
カードの取り扱いに問題があった(規約違反) ・カードの裏面に署名をしていない
・カードを他人に貸した(預けた)
故意または重大な過失が原因の場合 ・カードや財布を外から見える状態で車の中に放置し、車上荒らしにあった
・他人が出入りできる場所へカードを放置していた
家族や同居人が原因の場合 ・家族や同居人がカードを利用した
・家族や同居人がカードを紛失した
・カードを貸した家族や同居人の管理が悪く、被害にあった
カード会社や保険会社の指示に従わなかった場合 ・書類を期日までに提出しなかった
・警察へ届け出するよういわれたのに対応しなかった
カードに登録した暗証番号が使われた場合(※) ・カードの暗証番号を使って不正利用された
規定外の期間の不正利用 ・カード会社へ届け出をした日からさかのぼって60日より前に不正利用が発生した(カード会社によって期間が違うことがあります)

これらの注意事項は、カードが送られてきたときに同封されている規約にきちんと書かれています。万が一、不正利用の被害にあったとしてもしっかり補償を受けられるように、以下の点に気をつけ、規約に違反しないことが大切です。

  • カードを受け取ったらすぐに裏面にサインをしておく、規約を確認する
  • 他人はもちろん家族にもカードは預けない、使用させない
  • カードはしっかりと管理し、盗難やスキミングをされないように注意する
  • カードの利用明細はきちんと確認し、不正利用が判明したらすぐに届け出をする

暗証番号に関する注意点

さらに覚えておきたいのが、上記の表の「※」にあるように「暗証番号を利用してカードを使われてしまった場合も補償を受けられない」ということです。

日本人の場合、「自分や配偶者の生年月日」「電話番号の下4桁」「車のナンバー」の要素で暗証番号を設定しているケースが多く、一説によると70%にものぼるようです。
以前からカード会社では契約者の生年月日などの推測されやすい数字を設定できないように対策していますが、古い契約だと誕生日の設定になったままのものも残っているでしょう。

また、キャッシュカードや各種クレジットカードにすべて同じ暗証番号を使っている場合も、不正利用の被害にあうリスクが高くなることを忘れてはいけません
暗証番号を忘れないようにカードに書いておいたり、メモしたものを財布に入れたりする行為は危ないのでやめてください。暗証番号は厳重に管理する必要があります。

ほかにもある! クレジットカードの代表的な不正利用

クレジットカードの不正利用には、スキミング以外にも、フィッシング詐欺、インターネットショッピング詐欺、なりすましなどさまざまな手口があります。

こちらでは、代表的な5つの不正利用について確認していきます。

フィッシング詐欺

フィッシング詐欺は、金融機関・クレジットカード会社・ECサイトなどを装って電子メールを送りつけるなどして本物そっくりに作った偽サイトへとユーザーを誘導し、クレジットカード番号やID・パスワードなどの重要な個人情報を盗み出す手口を指します。

メールに記載されているURLから偽サイトを開くと、ログイン画面が表示されます。そこにIDやパスワードなどを入力してしまうと、情報が盗み取られてしまいます。
「フィッシング(phishing)」は魚釣りを意味する「fishing」が語源のひとつとなっており、発音も同じ。エサを撒くようにメールを送り、重要な個人情報を取ることが魚釣りに似ていることから、このような呼び名になったようです。

最初の頃は電子メールによるものがほとんどでしたが、新たな手口が次々と現れ、現在ではSMSや掲示板、SNSなどにURLやリンクを貼り付けているケースもあります。
ECサイトのアカウント情報が悪意ある者にわたってしまうと、登録してあるカード情報が盗まれたり、カード決済で身に覚えのない買い物をされたり、カード情報を売買されたりといった被害にあう可能性があります。

インターネットショッピング詐欺

人気のショッピングサイトや大手ECサイトのデザインに似せた偽サイトを用意し、気づかずに注文した(入力した)ユーザーの個人情報やカード情報を盗んだり、存在しない商品の購入をうながして入金させたりする手口です。

この場合、注文した商品は届かず、後日運営会社に連絡しようとしても偽サイトが閉鎖して連絡がつかない、といったことが多くあります。「他で売り切れている商品を販売する」「人気の商品を格安で販売する」といった手法で集客するケースが少なくありません。

なりすまし

名義本人ではない第三者が本人になりすましてクレジットカードを不正に利用する行為です。カード会社や警察などを装って電話をし、カード番号・カード名義・有効期限などといった個人情報を聞き出すケースや、偽サイトなどを使って入力されたカード情報を入手するケースなどがあります。

悪質出会い系サイト

出会い系サイトの仕組みを使った手口です。「無料」とうたった出会い系サイトへ登録した際に同時に別の有料サイトへ登録させたり、サクラを使ってクレジットカードでポイントを購入させたり、サクラに別の有料サイトへ誘導させて迷惑メールを大量に送りつけ、メールの停止や退会を条件にお金を請求したりといった手法があります。

悪質な出会い系サイトと気づいても、「出会い系サイトを利用した事実を他人に知られたくない」という心理から泣き寝入りするケースも多くあるようです。

EC事業者による情報漏えい

EC事業者による情報漏えいにも、以下のようにいくつか種類があります。

  • 誤操作や誤送信による流出
  • 個人情報が入った媒体やリストの紛失
  • データの不正な持ち出し
  • 不正アクセスによる流出

上の2つはヒューマンエラーや管理体制に問題があるケースで、下の2つは悪意のある漏えい・流出です。
今日、さまざまな企業や行政機関は常にサイバー攻撃の脅威にさらされています。手口や手法が進化しているため「100%安全」といえる対策はなく、EC事業者に登録したカード情報をはじめとした個人情報は消費者自身でも管理しきれていないのが現状です。

まとめ

  • スキミング被害を100%防ぐ方法はないものの、暗証番号は工夫次第で守ることができる
  • 万が一の際に補償を受けるには、「規約に違反せずカードを管理できていたか」「暗証番号が使われていないか」がポイント
  • 利用明細は必ず確認し、心配ならオンラインの会員ページで利用状況を随時チェックする