スキマー (スキマー) とは | 意味や読み方など丁寧でわかりやすい用語解説

スキマー (スキマー) の読み方

日本語表記

スキマー (スキマー)

英語表記

Skimmer (スキマー)

スキマー (スキマー) の意味や用語解説

スキマーとは、クレジットカードやキャッシュカードの磁気ストライプに記録されている情報を、不正な手段で盗み取るための装置や、その行為そのものを指す総称である。この不正行為はスキミングと呼ばれ、金融犯罪の一種として広く知られている。スキマーは、ATMのカード挿入口や店舗の決済端末（POS端末）、ガソリンスタンドの給油機など、カードが利用される様々な場所に巧妙に仕掛けられる。犯人は盗み取ったカード情報を利用して偽造カードを作成し、不正に現金を引き出したり、高額な商品を購入したりすることで金銭的な利益を得る。また、カード情報だけでなく、暗証番号（PIN）を盗むために小型カメラや偽のキーパッドが併用されることも多い。このように、スキマーは利用者が気づかないうちに行われるため、被害が発覚しにくいという特徴があり、個人だけでなく金融システム全体にとって深刻な脅威となっている。システムエンジニアを目指す者として、このような攻撃の手口と、それを防ぐための技術的な対策について理解を深めることは極めて重要である。 スキマーによる情報窃取の仕組みは、物理的な装置を用いるものと、ソフトウェア的な手法を用いるものに大別される。物理的なスキマーは、本物の機器の外観に酷似するように作られており、ATMのカード挿入口に被せるタイプが代表的である。利用者がカードを挿入すると、本物の読み取り装置に到達する前に、仕掛けられたスキマーが磁気ストライプの情報を読み取る。磁気ストライプには口座番号や氏名、有効期限などの情報が暗号化されずに記録されているため、専用のリーダーで比較的容易にデータをコピーすることが可能である。そして、暗証番号を盗むために、キーパッドを撮影する隠しカメラがATMの周辺に設置されたり、本物のキーパッドの上に薄い偽のキーパッドを被せて入力情報を記録したりする。収集されたデータは、スキマー内部のメモリに保存されるか、Bluetoothなどの無線通信技術を用いて犯人の端末へリアルタイムに送信される。近年では、NFCやRFIDといった非接触通信技術を利用するICカードを狙ったスキマーも登場しているが、ICチップ内の情報は暗号化されているため、磁気ストライプに比べて格段に複製が困難である。もう一方のソフトウェア的なスキマーは、Webスキミングやフォームジャッキング、あるいは主導する攻撃者グループの名からMagecart攻撃とも呼ばれる。これは、オンラインショッピングサイトなどの決済ページに悪意のあるJavaScriptコードを埋め込むことで、利用者が入力したカード情報や個人情報を、入力と同時に攻撃者のサーバーへ送信する手口である。攻撃者は、Webサイトの脆弱性を突いてサーバーに侵入したり、サイトが利用しているサードパーティ製のライブラリを改ざんしたりすることで、不正なスクリプトを仕込む。利用者やサイト運営者が気づかないうちに、水面下で情報が盗まれ続けるため、被害が広範囲に及ぶ可能性がある。システム開発においては、このようなサイバー攻撃への対策が不可欠となる。対策としては、ICカードの利用促進が最も効果的なものの一つである。ICチップは内部にCPUを搭載し、取引ごとに固有のデータを生成して暗号化通信を行うため、情報を盗まれても偽造カードの作成は極めて難しい。日本の金融機関や店舗でも、磁気ストライプによる取引からICチップによる取引への移行が進められている。システム開発の観点からは、Webスキミングへの対策として、Webアプリケーションの脆弱性をなくすためのセキュアコーディング、定期的な脆弱性診断の実施、外部から読み込むスクリプトの正当性を保証するサブリソース・インテグリティ（SRI）や、読み込む外部リソースを制限するコンテンツセキュリティポリシー（CSP）といった技術の導入が重要である。また、決済情報を扱うシステムを開発・運用する際には、クレジットカード業界のセキュリティ基準であるPCI DSSに準拠することが求められる。システムエンジニアは、これらの技術や基準を深く理解し、利用者が安全にサービスを利用できる堅牢なシステムを設計・構築する責任を負っている。