「スキミングって、どうやってカード情報を盗むの?」
「ICカードやタッチ決済なら安全って本当?」
「お店側でできる対策はある?」
気づかないうちにクレジットカードの情報を盗み取られる「スキミング」。フィッシングと並ぶカード不正の代表的な手口で、被害に遭うと身に覚えのない請求が発生します。
この記事では、スキミングとは何かという基本から、主な手口、フィッシングとの違い、そして消費者・事業者それぞれの対策までを、わかりやすく解説します。
手口を知っておくことは、被害を防ぐ第一歩です。「自分は関係ない」と思わず、基本を押さえておきましょう。
スキミングとは?
スキミングとは、「スキマー」と呼ばれる装置を使って、クレジットカードやキャッシュカードの磁気情報を不正に読み取り、盗み取る手口です。盗んだ情報で偽造カードを作られたり、不正に利用されたりする被害につながります。
被害に気づくのは、身に覚えのない請求が明細に現れたときが多く、盗まれた瞬間には気づけないのが怖い点です。
とくに、磁気ストライプ(カード裏面の黒い帯)に記録された情報は、専用の装置があれば比較的簡単に読み取られてしまう点が問題です。カードの仕組みはICカードとは?磁気カードとの違いもご覧ください。
近年はICチップやタッチ決済の普及でスキミングは減少傾向にありますが、磁気にしか対応していない端末や、海外では依然としてリスクが残っています。
とくに、磁気ストライプでの決済しか対応していない場面では、ICチップに比べてスキミングのリスクが高くなります。
スキミングの主な手口

ATM・決済端末への仕掛け
ATMやガソリンスタンドの決済端末などに、外見では分かりにくい小型の読み取り装置を取り付け、カードを通した瞬間に情報を盗む手口があります。暗証番号を盗むための小型カメラが併設されることもあります。
装置は本物の部品に似せて作られていることが多く、一見しただけでは見分けが難しいのが実情です。少しでも違和感のある端末では利用を避けるのが安全です。
店舗での盗み取り
飲食店などで、店員がカードを預かった際に、手のひらサイズのスキマーで情報を読み取るケースもあります。カードが自分の目の届かないところへ持っていかれる場面には注意が必要です。
近年はタッチ決済やテーブル会計の普及で、カードを預ける場面は減っています。とはいえ、依然として注意しておきたいポイントです。
また、盗み見(ショルダーハッキング)で暗証番号を覚えられ、スキミングと組み合わせて悪用される手口もあります。
スキミングとフィッシングの違い

どちらもカード情報を盗む手口ですが、方法が異なります。
- スキミング…物理的な装置で、カードの磁気情報を直接読み取る。
- フィッシング…偽サイトや偽メールで、利用者自身に情報を入力させて盗む。
スキミングは「気づかないうちに盗まれる」、フィッシングは「だまされて自分で入力してしまう」という違いがあります。フィッシングの詳細はフィッシング詐欺とはで解説しています。
どちらの手口も、最終的には不正利用(なりすまし決済)につながります。手口は違っても、対策の考え方に共通する部分は多くあります。
いずれの手口も「盗まれた情報が悪用される」という点は同じです。だからこそ、複数の対策を組み合わせて備えることが大切です。
スキミングへの対策

ICチップ・タッチ決済を使う
磁気ストライプに比べ、ICチップは情報が暗号化されており、スキミングされにくいのが特徴です。可能な限り、磁気ではなくICチップでの決済(差し込み)や、タッチ決済を使うことが有効な対策になります。タッチ決済についてはタッチ決済とはをご覧ください。
ICチップは、決済のたびに異なる情報をやり取りするため、仮に読み取られても使い回しが難しい仕組みになっています。これが、磁気に比べて安全性が高い理由です。
そのため、ICチップやタッチ決済に対応している店舗では、できるだけそちらを使うのが安心です。
消費者ができること
利用者側の対策としては、次のような点が挙げられます。
- カードを店員に渡す際、目の届く範囲で処理してもらう。
- ATMや端末に不審な部品が付いていないか注意する。
- 暗証番号を入力するときは手元を隠す。
- 利用明細をこまめに確認し、身に覚えのない請求がないかチェックする。
これらは特別な知識がなくても実践できる対策です。日頃のちょっとした注意が、被害を防ぐ大きな力になります。
事業者が取るべき対策

店舗・EC事業者としては、まず自社の決済環境を安全に保つことが大切です。ICチップやタッチ決済に対応した端末を使い、磁気決済への依存を減らすことがスキミング対策につながります。
端末を新しいものに更新するだけでも、対策効果は高まります。安全な決済環境は、お客様の安心にもつながります。
ECサイトの場合は、そもそもカード情報を自社に持たない非保持化が、最も効果的なスキミング・情報漏洩対策になります。
また、ECサイトではそもそもカード情報を自社で持たない「非保持化」が基本です。カード情報を保持しなければ、盗まれるリスクも減ります。詳しくはカード情報の非保持化とは、情報を無意味な文字列に置き換える仕組みはトークン決済とはをご覧ください。
対面の店舗では、お客様のカードを預かる際の運用ルールを整えることも有効です。目の届かない場所へカードを持ち込まない、といった基本的な対策が、店舗への信頼にもつながります。
スキミングに関するよくある疑問
被害に遭ったらどうすればいい?
すぐにカード会社へ連絡し、カードの利用停止と再発行を依頼しましょう。不正利用に気づいたら早めに申し出ることが大切です。利用者に過失がなければ、補償を受けられる場合が多いです。
ただし、暗証番号の管理に問題があった場合など、状況によっては補償の範囲が変わることもあります。日頃から暗証番号の管理には注意しましょう。
タッチ決済はスキミングされない?
タッチ決済やICチップは、磁気に比べて格段に安全性が高い仕組みです。ただし、どんな方法でも「絶対」はないため、明細確認などの基本的な対策は続けましょう。
海外でのスキミングが心配
スキミングのリスクが高い地域では、ICチップやタッチ決済に対応した店舗を選ぶ、利用明細をこまめに確認する、といった対策がより重要になります。

