「スキミング防止カード」の今はどうなっているの？：萩原栄幸が斬る！ IT時事刻々（1/2 ページ）

カード情報を盗み取る機械を使った犯罪が社会で注目され、その対策グッズがブームになった。その効果は本当にあったのだろうか。検証してみたい。

[萩原栄幸，ITmedia]

　今回は、数年前に話題となり、IT系の販売促進グッズとしても人気を集めた「スキミング防止カード」（もしくは「スキミング対策カード」）について触れてみたい。なお、あらかじめお断りするが、本稿は販売業者の事業を妨害する意図は全くない。これから触れる内容は、かつては影響が大きいと考え、セミナーや講演会で紹介するにとどまってきたが、そのような懸念もなくなりつつあると思い、文章として触れてみることにした。筆者のセミナーや講演会をお聞きになっている方なら、おなじみの内容だろう。

スキミングとは？

　IT用語辞典によれば、スキミングとは、「他人のクレジットカードやキャッシュカードの磁気記録情報を不正に読み出してコピーを作成し、使用する犯罪行為。“スキマー”と呼ばれるカード情報を読み取る装置を用いて情報を複製する」と定義されている。

　このスキミングという言葉を一躍有名にした事件が、2005年1月に発生した。有名なゴルフ場でのスキミングである。実はそれ以前にも、ゴルフ場のセーフティ・ボックス（貴重品ボックス）は危険だと言われていた。ゴルフコースに出てしまうと、しばらくはセーフティ・ボックスに戻るようなことはない。そこで犯罪者が盗撮カメラなどを設置して、解錠番号を盗み見し、ボックスの中から現金や金目のものを盗んでいくのである。

　ところが、この事件はそういう状況ではなく、顧客が防衛手段を取りようもないものだった。何と支配人が窃盗犯と共犯であったからである。

　犯行の手口は次のようなものだった。

1. 顧客がセーフティ・ボックスを利用する。通常なら何十人もいるはず……
2. 窃盗グループは支配人からマスターキーを預かる。全てのセーフティ・ボックスを簡単に空けることができる
3. セーフティ・ボックスの紛失用の印刷機能を悪用して、空けたボックスがどういう暗証番号を設定していたのかを印刷する（ここがポイント！）
4. 窃盗グループは金品（現金や指輪など）には手を触れず、キャッシュカードだけを盗み、スキマーでデータをコピーして偽造カードを作成する
5. 偽造カードを作成した後に、盗んだカードを元の場所に戻す
6. ATMで偽造したカードを使い、限度額いっぱいまで預金を引き出す（カード偽造から日数が経過している場合もある）

　さてポイントは、キャッシュカードだけでは預金を引き出せないという点である。必要となるのが暗証番号だ。窃盗犯は、暗証番号はどうやって知ることができたのか。実は上述の3に注目してほしい。

　人間はルーズなもので、セーフティ・ボックスを前に「4けたの数字を任意で入力しなさい」と言われたら、真っ先に普段から使っている「暗証番号」を思い出して入力してしまうのだ。上述の事件で窃盗グループは、労せずして暗証番号を知ることができたわけである。被害者のほとんどが、セーフティ・ボックスに入力した番号と銀行口座の暗証番号が一緒だったいうから恐ろしい。

　しかもこの犯罪は当初なかなか表面化しなかった。その理由は、通常の窃盗犯なら、金品だけを盗む。カード類は盗んでも仕方がないし、持ち歩くだけでも“足がつく”。だからそこにある金品だけを盗むこととなり、当然ながらすぐに騒がれてしまう。

　ところが、この事件では前述の通り金品には手を触れていない。カードもスキミングして偽造カードを作成するだけで元に戻してしまう。よって被害者はゴルフ場の時点で被害に遭っていることを認識できないのだ。

　被害に遭ったということを認識するには、その後に窃盗グループが偽造カードを使って実際に預金口座から現金を引き出し、その上で被害者が口座の残高を確認した時（もしくは現金を引き出した時）である。さらに被害者は、「被害に遭った」ことは分かっても、それがゴルフ場でスキミングされたと考えるようになるまでどうしても時間がかかるし、どうして被害に遭ったのか分からないままになっていた人もいたに違いない。報道を見て「わたしもその被害者だ」と知った人が多いのではないだろうか。騒がれる前は、「スキミング」という言葉の意味すら知らない人が大部分だったはずである。