カードスキミング：結果、戦略、予防策

ロブ・レイポニスとヘザー・グレゼンが、ホストのダニエル・リトウィンと、銀行業界で蔓延する問題、カードスキミングについて語り合います。スキミングの増加、スキミングの被害、銀行や信用組合が講じることができる予防策など、難しい質問に二人が答えます。ぜひお聴きください。

トランスクリプト:

皆さん、こんにちは。Parabitポッドキャスト「A Bit About」の新たなエピソードへようこそ。今回のホストは私です。B2B Folksのダニエル・リトウィンさん、番組にまたご参加いただき、誠にありがとうございます。私たちは、セキュリティ業界全体を形作るタイムリーなトピック、主要なトレンド、テクノロジーなど、あらゆるテーマを探求し続けています。

本日のトピックについて掘り下げていく中で、ぜひParabit.comをご覧ください。Parabit.comでは、ポッドキャストの過去のエピソードや今後のエピソードだけでなく、ソリューションやサービスに関する詳細情報、そして本日解説するトピックに関する補足情報もご覧いただけます。ぜひParabit.comにアクセスして、今後のエピソードや「A Bit About」の過去の会話の全カタログをご覧いただき、Apple PodcastsとSpotifyへのご登録もお忘れなく。

今日のポッドキャストは、もちろん特別なエピソードです。今日はParabitチームとスタジオにいます。今日は、決済処理業者、小売業者、銀行などにとって共通の課題であるだけでなく、実際には深刻化している重要なトレンドについて取り上げます。蔓延が拡大し、その悪影響も拡大しています。

その問題はカードスキミングです。そうです。カードスキミングです。FICOのデータによると、昨年は…

不正アクセスされたカードの数は2022年から2023年にかけて大幅に増加し、憂慮すべき77%にも上ります。しかも、これは目立たない隠れ家的なお店などで起こっているわけではありません。実のところ、銀行でより頻繁に発生しています。そのため、銀行は最近カードスキマーの格好の標的となっており、不正アクセスされた場所の約33%が銀行ATMとなっています。

では、この傾向は一体何なのでしょうか？なぜカードスキミングが増加しているのでしょうか？そして、その影響は何でしょうか？

そして、実店舗は、この高まるリスクを抑制するために、運用面、テクノロジー面、その他あらゆる戦略を展開すべきでしょうか。そこで、Parabitチームにスタジオに来ていただき、議論と分析を共有してもらいたいと思っています。それでは、早速お話を伺いましょう。本日のエピソードでは、ParabitのCEOであるRob Leiponis氏と、Parabitの事業開発マネージャーであるHeather Glezen氏のお二人をゲストにお迎えし、お話を伺います。

ヘザー、ロブ。お二人とも来ていただいて嬉しいです。お元気ですか？ 素晴らしいですね。本当にありがとうございます。

お招きいただきありがとうございます。その通りです。ご参加いただきありがとうございました。実はこのディスカッションは、ダラスで開催されたGSX 2023の終盤に行っているんです。

ご存知の通り、カードスキミングについてお話していますが、これは業界にとって懸念事項だったのでしょうか、それともParabitブースに来られた方から聞いた話だったのでしょうか、それとも何気なく聞いただけだったのでしょうか。

業界にとってそれが最優先事項だと思います。

ご存知の通り、セルフサービス端末やPOS端末など、様々な種類の端末でスキミングが多発しています。ATMメーカーは、ATM向けのスキミング対策やスキミング検知システムの開発にかなり力を入れていますが、それでも依然として侵入の被害に遭っています。ATMに導入されているソリューションと当社のソリューションを組み合わせることで、スキミングの抑止力は大きく向上していますが、それでもなお業界における深刻な問題となっています。そして、おっしゃる通り、スキミングは増加傾向にあります。

複数のクライアントが当社のソリューションを評価しており、米国の金融機関上位25社のうち23社が当社のソリューションを活用し、スキミング対策に大きな成果を上げています。これは、スキミング対策がブランド保護に大きく貢献しています。数年前にスキミングが初めて出現した際には、多くの顧客の銀行口座が空になったり、不正アクセスされたりしたため、金融機関の評判を著しく落としていました。そして、スキミングによる評判の失墜により、銀行は文字通り数百万ドルもの損害を被っていました。スキミング対策からそれほど隔絶されていない、あるいは当然のこととして認識している組織の中には、今回の件でそれが解消されたように、多大な損失を被り、脅威の現実を痛感することになる組織もあるでしょう。

ええ。そして、その脅威についてより広い視点でお話ししたいと思います。冒頭でFICOのデータについて触れましたが、これは8月上旬に発表されたものなので、ごく最近のものです。

しかし、このカードスキミングの傾向について、他の関連統計も交えて全体像を説明しましょう。1件あたりの平均カードスキミング枚数は48%増加しています。これは2023年上半期の数字です。これは大きな増加です。

2023年上半期には、セキュリティ侵害の件数が前年比で約20%増加し、報告件数も約525件から2023年には625件に急増しました。銀行ATMはこれまでも標的として好まれてきましたが、この数字を見ればその実態がよく分かります。スキミング被害に遭った銀行ATMは109%増加しており、これはバージニア州、テキサス州、ニュージャージー州、フロリダ州、コロラド州といった主要州で発生しています。

全体像を把握するために、少しお話を伺いました。セルフサービスキオスクの普及と増加、そしてブランドと顧客との関係性について少し触れていただきましたが、それを超えて、あるいはより広い視点から、カードスキミングの増加を促している現在の傾向についてご説明いただけますか？ なるほど。皆さんの視点から見て、なぜこれがますます重要な問題になっているのでしょうか？

そうですね、主な理由は、先ほども申し上げたように、ATMメーカーやその他のサードパーティ製スキミング対策ソリューションはそれなりの成果を上げていますが、完全なエンドツーエンドのソリューションではないということだと思います。つまり、犯罪者がATMカードリーダーやATMのPINキャプチャデバイスに侵入するための弱点をまだ見つけているということです。

たった一度のスキミング攻撃によってもたらされる評判へのダメージは、銀行の顧客保護環境において当社のソリューションを導入しないことで発生するコスト増加よりもはるかに大きいものです。そして、ご存知の通り、これは実際に起こっています。ここ数年で起こった興味深い出来事は、金融機関の中には、これまでATMロビーを備えた支店を建設しなかったところもありました。それは、保護のためにより多くの費用を費やす必要があるという懸念があったからです。しかし、ATMロビーは実際には、ATM利用者がより安全に機械を利用できる環境を提供しているのです。

そうすれば、お客様はATMを使い、施設を出る前にお金を預けることができます。ドライブスルーやウォークスルーのATMを利用している人の場合、誰かが駆け寄ったり、顧客のふりをして後ろに立ったり、引き出し後にお金を盗んだり、強盗を働いたりして、施設を出ていくのを防ぐことはできません。つまり、ATMロビーは一般的に、顧客にとってよりブランド化された銀行環境を提供するということです。

支店に行って、明細書付き普通預金口座から20ドルを引き出すと、その支店には10万ドル相当のセキュリティがかけられています。しかし、ATMのドライブスルー方式では、24時間営業の銀行環境に伴うセキュリティは非常に限られています。そして、顧客にとって危険な状況を作り出します。ご存知の通り、ATMの引き出し限度額を1,000ドルに設定している銀行もあります。つまり、スキミングや、そうしたATMを利用している顧客への攻撃を行う者にとって、これは非常に魅力的であり、顧客を無防備な状態に置き、私たちの観点からすると、安全で快適な銀行環境とは言えません。

顧客の安全に加えて、資産の確保も重要です。ロビー環境は、より安全で隔離された場所を作り出し、リスクが少し高くなります。ご存知のとおり、犯罪者はスキミングの手法が非常に洗練されており、非常に活発に活動しています。ええ。さて、それについてもう少し詳しく伺いますが、皆さんは最近のカードスキミングの戦術の進化について何か見聞きしたことがありますか？例えば、今回の事件の急増は、より大きなマクロ要因にのみ関連しているのでしょうか、それともセルフサービスキオスクの拡大と関係があるのでしょうか。それとも、カードスキマーの戦略自体が向上したという要素もあるのでしょうか。あるいは、侵入して情報を入手するための新しい技術を持っているのでしょうか。

皆さんも同じような話は耳にしていますか？現在使用されている技術は、ご存じの通り、検知がより困難なものには進化していないように思います。長年使われてきた従来のスキミングや暗証番号捕捉装置が、依然として使われているのだと思います。

COVID-19の影響と、おそらくその期間のATM取引の減少により、銀行全体ではスキミング攻撃が減ったと思いますが、現在、経済が回復し、多くの金融機関でATM取引量が増加しているため、犯罪者がATMにスキミング対策を追加したいという欲求を再び抱くようになっています。

さて、ここで私が興味を持っているのは、決済方法のエコシステムの進化も、ここで交差するもう一つのトレンドだということですね。

消費者がカード決済以外の決済手段を多く利用していることは明らかですが、カード自体にも新しい技術が取り入れられています。例えば、タップ決済、いわゆるタッチレス決済などです。こうした技術がスキミング対策やスキミングリスク軽減に何らかの影響を与えているのかどうか、興味があります。

ご存知の通り、当社のチップ＆ピンや非接触技術はスキミング防止に役立っています。あるいは、スキミングもこうした進化する技術に適応しているのでしょうか。皆さんはどう思われますか？スキミングは依然として磁気ストライプやNFCカードを狙っています。ATMでモバイル決済を有効にしているお客様も複数いらっしゃいます。

そして幸運なことに、私たちが開発したソリューションにはBluetoothアクセス制御が組み込まれています。顧客体験の観点から、金融機関が銀行アプリに統合できるSDKを開発しました。これにより、顧客はロビーへの入店だけでなく、ATMでの取引処理にも利用できるようになります。つまり、これはマルチ認証デバイスなのです。

これが、金融機関が自社の端末やロビーにおけるスキミングを真に軽減するための真の方法です。なぜなら、NFC、Bluetooth、NFC非接触、EMVチップ、磁気ストライプなど、カードが存在する限り、スキミングは容易に発生するからです。業界には磁気ストライプの廃止を目指す目標があることは承知していますが、カードが存在する限りスキミングは依然として存在します。私たちのソリューションは、金融機関が最終的にカードを廃止し、モバイルデバイスを利用した非接触型決済を提供することを可能にします。

金融機関の話が出ましたが、この問題についてお客様からどのような話を聞いているのか、またどのように対応しているのか、具体的な事例やエピソードを教えていただけますか？銀行は、特にATMにおいて、カードスキミングのリスクを軽減するために、何か具体的な、あるいは共通の対策を講じているのでしょうか？はい。スキミングは慢性的な問題ですから。銀行は、自分たちにとってリスクとなるリスクがあるため、自分たちの経験について真剣に話し合ったり共有したりすることに消極的だと思います。それは全く理解できます。

ご存知の通り、彼らはリスク軽減に役立つ多くのソリューションの検討と導入に取り組んでいますが、それで全てが解決するとは思えません。非接触型決済やデジタル決済、モバイルを使ったデジタル取引の活用は、私たちが取引している多くの金融機関が現在検討している方向性です。すでに導入している金融機関もありますが、多くの小規模金融機関では、現金引き出しや取引処理のために現在提供されている安価なカードよりもはるかに高価であるため、この技術を実際に導入するための財政的支援が不足していると思います。

そうですね。銀行や金融機関からはどのような話を聞いていますか？同じような話も聞きましたか？あるいは、何か具体的なエピソードは思い浮かびますか？

ええと、ご存知の通り、磁気ストライプはおそらく最も簡単に侵入され、最もリスクが高いと考えられます。ロブ、これに同意されますか？NFC、つまりNFCに接触して確認するということですね。

そうですね。ですから、非接触技術への移行は極めて重要になるでしょう。そして、ご存知の通り、増大する脅威に対する意識は高まっていると思います。決済処理や決済タッチポイント全般におけるこうした間接的な進化が、従来のスキミング技術を迂回するセキュリティ対策を根付かせているというのは、少なくとも喜ばしいことです。

しかし、おっしゃるとおり、磁気ストライプやカード上の脆弱なチップを長期的に段階的に廃止するには、おそらくしばらく時間がかかるでしょう。ですから短期的には、金融機関、小売業者、決済プロセスに関係なく、この増大した脅威に対処するための、あるいは少なくともおっしゃるとおり、コロナ後にこの脅威が元の状態に戻るための戦略が必要になるでしょう。そのエコシステムの一部は明らかにParabitです。また、ここで皆さんにParabitのSkim Guardテクノロジーについてもう少し詳しく説明していただきたいと思います。このテクノロジーについて、また、実店舗やセルフサービスタッチポイントをカードスキミングのリスクから保護する仕組みについて、もう少し詳しく教えていただけますか。私たちはこのテクノロジーを2013年に開発し、Magstrype非接触NFCとBluetoothアクセス制御をサポートする最新の2ポイントMMRリーダーを2021年9月にリリースしました。

これはスキミングの軽減に非常に役立っています。ご存知の通り、当社のリーダーにはスキミングデバイス（RFID）の物理的なオーバーレイ検出機能が組み込まれています。つまり、誰かがリーダーの隣にRFIスキマーを置いた場合も、それを検出します。

最近の機能強化としては、衝撃検出機能、カード リーダーが交換されたときの検出機能を開発しました。

カードの物理的な設計により、シマーがリーダー内にインストールされることはありません。

リーダーの改ざんだけでなく、リーダーのケーブル切断も監視しています。そのため、当社のリーダーは米国の金融機関にとってまさに主力製品であることが証明されています。その証として、米国の金融機関上位25社のうち23社が当社の製品を使用しています。導入率は各社で異なります。さらに、数千もの小規模な信用組合や銀行が、徐々にこの製品について理解を深めています。

そして、これは、当社のリーダーにスキミング装置を取り付けたり、ATM に PIN キャプチャ装置を取り付けたりする犯罪者の検出と逮捕において、法執行機関に非常に役立っています。

法執行機関は、ATMにこれらのデバイスを取り付ける犯罪者を実際に捕まえるための囮捜査の成功例について私たちと話し合っており、私たちはそれを非常に誇りに思っています。残念ながら、その統計は公表したくない情報であるため入手できませんが、私たちは秘密にしようと努めています。これほど信頼性の高いソリューションを開発できたことを非常に誇りに思っています。これは基本的に、人々が気づかないうちに銀行口座が空になるのを防いでいるのです。お二人は、実店舗、特に金融機関がカードスキミング対策を強化するために導入する可能性のある戦略や技術の、より広範なエコシステムの中で、Skimgardがどのように位置づけられるとお考えですか？Skimgardは、そのエコシステムにどのように補完され、どのように関与していくとお考えですか？

お客様がATMに近づいた時、アクセス制御用のSDKをオンラインバンキングアプリに統合した金融ソリューションがあれば、誰もがスマートフォンを手に街を歩いている時に何をするでしょうか？ わかりますよね？ お客様がATMの前、あるいはATMロビーの前でカードを取り出してアクセスしなければならない場合、カードを取り出すことで誰かが近づいてカードを奪ったり、ATMまで行って取引を処理させたりすることができるため、お客様は危険にさらされていることになります。

当社のSDKをこのソリューションに統合することで、ATMアクセスポイントで顧客を認証すると同時に、銀行側でもATMで顧客を認証する二重認証が可能になります。さらに、当社のSDKを活用することで、銀行は小売業との連携も可能になります。顧客がATMロビーに入ると、その顧客の認証情報にプロファイルが関連付けられます。つまり、顧客がATMや支店に近づくと、顧客属性に基づいてデジタルサイネージの表示内容を変えることができるのです。

支店内で働く支店員に「この顧客のプロフィールはどのようなものですか」というメッセージを送信し、よりターゲットを絞ったマーケティングの質問を作成または設定して、顧客にサービスをアップセルできるようにします。たとえば、顧客の明細書付き普通預金口座に 1,000 ドルがあることを通知します。これにより、窓口担当者はより魅力的な質問をしたり、当社の投資サービスに問い合わせるよう提案したりできるようになります。何年もの間、銀行は支店員に顧客へのアップセルを行わせるようトレーニングしてきましたが、当社のシステムを利用してこうした通知サービスを提供することで、銀行は支店員が顧客が来店した際に、より魅力的でターゲットを絞った質問や提案を行えるように準備できるようになります。

そうですね。おっしゃる通り、金融機関が顧客に質の高いサービスを提供するための新たなツールを提供できるというのは本当に助かります。それと、Parabitが金融機関と連携し、ソリューションを提供してそれで終わりという顧客関係にとどまらず、カードスキミングリスク軽減や、より一般的なセキュリティ戦略といった戦略を変革・進化させるのを支援している点も興味深いですね。

金融機関とのこうしたパートナーシップや協力関係について、またそうした包括的で協力的なパートナーシップの利点について、皆さんの考えをもう少し詳しくお聞かせいただけませんか。

そうですね、セキュリティインテグレーター、ソリューションプロバイダー、そしてエンドユーザーである金融機関自身を中心に、透明性のある連携が図られていれば、リスクが最も高いのはどこか、どのようなリスクにさらされているのかを明確に把握できると思います。導入の種類を考えると、ロブがATMロビー周辺の安全性について言及したように、ドライブスルー方式の方が利便性は高いかもしれませんが、同時にリスクも最も高くなります。

つまり、ソリューションには長所と短所があります。市場の普及状況や特定の市場によっては、特定のタイプのATM導入が好まれる場合もあります。

しかし、繰り返しになりますが、閉鎖された技術と資産をより安全な環境、つまり監視やセキュリティ対策が強化された環境に置くと、リスクが軽減されます。犯罪者が何を狙うかを判断する際、縁石に露出した状態で放置されているか、車で侵入される可能性のある建物の側面に露出しているか、あるいはアクセスしなければならない閉鎖された安全な空間内にいるかなど、様々な状況が考えられます。私たちは、多くの製品、つまり開発するセキュリティ製品において、どのような小売業のアプリケーションが、自社のセキュリティ製品からメリットを得られるかを常に評価・調査しています。

先ほども申し上げましたが、ロビーに入った人を支店の担当者に通知することで、デジタルサイネージとの連携をより効果的に行うことができます。これは、小売業は利益を生み出す源であり、セキュリティはコストセンターです。ですから、小売業が顧客体験の向上と迅速化を実現し、同時に顧客を守るために活用できるソリューションを構築すれば、セキュリティと小売業の双方にとってメリットのあることと言えるでしょう。

そして、それが私たちの、そして製品を開発する企業としての使命です。セキュリティ業界では、このような取り組みを支援するための資金を集めたり、創出したりすることが難しいからです。彼らは多くの問題を解消していますが、残念ながら犯罪は減少していないため、彼らに危害を加え、資産や顧客を危険にさらしている犯罪者全員より先に行動しようと常に努力しています。

ATMの窃盗は、かなりの数に上ります。テキサス州は、島や遠隔地にあるATMを盗む事件が最も多く発生している州の一つでしょう。資産の観点から見ると、これを軽減するための実証済みの解決策は未だに存在しません。爆発攻撃と同様に、ATMは依然として発生しています。また、壁を貫通するATMもあります。スキミング装置によって侵入される可能性はありますが、爆発攻撃にさらされる可能性は低いとはいえ、それでも可能性はあります。

一方、保護された環境内に設置された ATM と、顧客にとって快適な銀行取引体験は、銀行の資産と顧客の両方を保護することになるため、銀行にとってはおそらくベストプラクティスです。

そして、この対話における協働の一部は、ソリューションプロバイダー、コンサルタント、そしてセキュリティインテグレーターとして、銀行に、これはセキュリティに関する対話ではあるものの、協働によるメリットを実現し、認識されているものを実際に資金面で支援するためには、支店内の他の部門の同僚をどのように巻き込む必要があるか、ということを理解してもらうことでもあると思います。これは、実際に提供しているソリューションの種類に対する認識の転換です。つまり、単なるセキュリティソリューションなのか、それともリテール部門にとってのメリットを認識・理解できる他の関係者をどのように巻き込むのか、という点です。

この点も念頭に置き、会話を締めくくるにあたり、今後の見通しについてお話しします。先ほど触れた FICO のデータからも、カード スキミングはより大規模な詐欺エコシステムの一部に過ぎないことがわかっていますが、実店舗、特に金融機関に影響を与えるその他の種類の詐欺も増加傾向にあり、その中には承認済みプッシュ ペイメント詐欺なども含まれています。

これはほんの一例です。聴衆の皆さんには、非常に詳細なレポートをご覧になることをお勧めします。カードスキミングの戦略、そしてATMセキュリティ全般について、皆さんはどのようにお考えですか？今後数年間で、そのエコシステムはどのように進化していくとお考えですか？

そして、それはカードスキミングの機会を増やすか減らすか、そしてカードスキミングの可能性に対するセキュリティを実際に強化することになるのでしょうか。ご意見をお聞かせください。

先ほども申し上げましたが、多くの銀行が認証情報をカードからモバイル端末に移行することを検討しています。なぜなら、人々は常にモバイル端末を手に持っているからです。携帯電話だけでなく、ATMや決済端末でも認証できます。つまり、携帯電話の複製は困難ですが、カードの複製は容易なので、これはまさにセキュリティ対策として最適な方法だと思います。そのため、実現には数年かかるでしょう。VisaやMastercardが、最終的にカードを廃止したいと考えている期限があることは承知しています。しかし同時に、彼らは自社ブランドであるため、そのカードを維持したいと考えています。取引処理にモバイル認証情報を使用することは、POS端末やATMにおけるスキミングを軽減する究極の方法です。

NFCのおかげで、モバイルデバイス自体もカードで認証できることがわかりました。つまり、虹彩認証、顔認証、モバイルデバイスへのPIN入力、カードをモバイルデバイスの背面にタップするといった複数段階の認証が可能になり、モバイルソリューションに移行することで、スキミングやPOS端末での不正利用といった将来のリスクを軽減できます。また、モバイルシステムのバックボーンには暗号化が組み込まれているため、その効果も期待できます。

ええ。意識が高まっているだけで、銀行など移行が遅れている銀行は、その重要性をすぐに認識するでしょう。そして、まだNFCに移行していない顧客もいます。これはリスクがあるため、避けられないことです。POS端末が不正アクセスされると、犯罪者はあっという間にオーバーレイを貼り付けることができます。消費者の立場からすれば、小売店であっても、暗証番号を常に保護することが非常に重要です。そして、消費者の意識が高まるにつれて、銀行や信用組合が時代に合わせて進化していくよう促されるようになるでしょう。これは将来の成功にとって非常に重要になるでしょう。さて、このあたりでこの話を締めくくりたいと思います。

スタジオでお話を伺い、カードスキミングの脅威、その進化、金融機関やその他の実店舗への影響、そしてParabitの技術がテクノロジーの戦略的エコシステムにどのように適合し、リスク軽減にどのように役立つかについて、お二人の見解を伺い、本当にありがとうございました。改めてお二人に感謝申し上げます。本当に素晴らしい時間でした。

はい、もちろんです。皆さん、改めてParabitのCEOであるRob Leiponis氏と、Parabitの事業開発マネージャーであるHeather Glezen氏とお話をしてきました。皆さんのソリューション、特にカードスキミング対策などについてもう少し詳しく知りたいのですが、どこに相談すればいいでしょうか？

へ。

簡単ですよね？ええ。リソースには、ビデオがいくつかあるメディアセンターがあります。ホームページには、「A Bit About」ページのクリップが掲載されています。

完璧ですね。よし。Parabit dot comの皆さん、番組の過去のエピソードはぜひそちらでご覧ください。Parabitのカードスキミング対策、リスク軽減ソリューション、そして業界に提供するセキュリティソリューションのエコシステム全体についての詳しい情報も掲載されています。

ロブ、改めてありがとう。ヘザー、改めてありがとう。二人とお話できて本当に嬉しかった。セイン。ありがとう。

Parabitポッドキャスト「A bit About」の最新エピソードをお聴きいただき、ありがとうございました。前回のエピソードはParabit.comのウェブサイトでご覧いただけます。また、Apple PodcastsとSpotifyにご登録いただくと、過去のエピソードの全リストと新着エピソードのお知らせを受け取ることができます。B2B担当のダニエル・リトウィンがホストを務めます。次回の「A bit About」もぜひお楽しみください。

Parabit チーム (sales@parabit.com) にお問い合わせください。