ATMを店舗に設置する場合

Mastercardビジネス・パートナーのセキュリティ対策――
必須対策と推奨対策


 

Mastercardは、カスタマーであるカード発行会社、加盟店パートナー、カードホルダーのカードお取引情報を守ることを大変重視しています。この目標の達成に向け、Mastercardでは、テクノロジーや業界の専門家と連携して、カードホルダーや加盟店、ATMカードお取り扱いカード会社及び金融機関をスキミングから守るべく取り組んでいます。スキミングの現状や最善策を知ることで、スキミングの被害を避けることができます。

 

スキミングとは?

スキミングとは、決済カードの磁気ストライプから、暗号化されたデータを読み出し、別のカードにコピーすることです。カード情報のコピーには「スキマー」と呼ばれる特殊なカードリーダーが使われます。読み出されたカード情報を使って、カードが複製され、現金が引き出され、商品やサービスが購入されます。カード番号をまとめたリストが販売される場合もあります。

 

スキミングが起きやすい場所

スキミングが起きやすい場所は2つあります。ATM端末とPOS(販売時点管理)端末です。

  • ATM端末 カードの磁気ストライプからデータを読み取るスキマーは、通常、カードを通す挿入口の上や中に取り付けられます。スキマーはATMの一部のように見えることもあります。スキマーの多くは、見かけが本物のカードリーダーにそっくりで、取引が終わるとカードホルダーがATMからカードを取り出せる構造になっています。偽造カードを作製するためには、磁気ストライプの情報に加えてカードホルダーの暗証番号(PIN)が必要です。暗証番号を盗み出すために、ATMに小型カメラが取り付けられている場合や、暗証番号入力用パッドの上に、カードホルダーのキー入力操作を記録する装置が取り付けられている場合もあります。
  • POS端末 小売店や飲食店でカードホルダーからカードを預かった店員が、携帯型のスキミング装置を使用する場合があります。カードを端末に通す際に、磁気ストライプの情報がコピーされます。

 

なぜスキミングが起きるのか

スキミング集団に加わっている犯罪者は、スキミングによって多額の儲けを得ることができるからです。

 

カード発行会社とカードホルダーによるセキュリティ対策

Mastercardでは、カード発行会社(カードを発行するカード会社および金融機関)に、カードホルダーへスキミングに対する自衛策を講じるよう啓蒙するとともに、カード発行会社自らもATMを定期的に点検して、リスクを最小限に抑えることを奨励しています。

 

端末の安全性に関する加盟店向けのご提案:

  • アクワイアラーと加盟店は、通信機器やシステムに不正な変更が加えられていないかを定期的に点検しなければなりません。不正変更が加えられた疑いがあると判断した加盟店は、アクワイアラーもしくはサービス・プロバイダーに連絡をとって支援を要請してください。
  • アクワイアラーは、POSなどの各種端末のベンダーに相談して、メンテナンス用のパスワードの保護を強化するよう要請してください。追加的なセキュリティ対策としては、ソフトウェアの機能強化や、ペアパスワードや分割パスワードの使用などが考えられます。
  • 加盟店は、アクワイアラー担当者を名乗る人や、POSなどの各種端末の点検やメンテナンスを行うために訪れたサービス・プロバイダーの本人確認を行わなければなりません。
  • カードお取り扱いカード会社及び金融機関は、定期的に加盟店に対して機器に加えられた不正変更の痕跡を発見する方法を指導しなければなりません。

 

ATMアクワイアラー向けの安全対策のご提案:

  • 端末に不正変更の痕跡がないか定期的に点検をしてください。
  • カードホルダーが暗証番号(PIN)を他人に知られないように注意し、カードをATMに入れる前に不審な装置が取り付けられていないことを確認するよう促すメッセージを画面に表示しましょう。
  • カード挿入口の周辺部を、偽のカード読み取り装置を取り付けることが不可能な構造にしてください。
  • 不正変更が加えられた場合にはATMが自動停止し、担当者がリセットするまで再起動しないような不正変更検知機能をATM設置場所に導入してください。

加盟店の皆様ができる自衛策 その他のコンテンツ

セキュリティ対策に着手する

セキュリティに関する加盟店の必須対策と推奨対策

非対面取引以外でも ― 
オンラインショッピングとカタログショッピング

Mastercard加盟店のセキュリティ対策――必須対策と推奨対策

Mastercard SecureCode

加盟店とお客様のオンラインショッピングの安全性向上に向けて

Mastercard SDP(サイトデータプロテクション)プログラム

Mastercard SDP (サイトデータプロテクション)プログラムは、カード発行会社、アクワイアラ、加盟店、サービス・プロバイダー(サードパーティー・プロセッサやデータ保管事業者)がセキュリティ侵害の脅威を未然に防止できるよう開発・設計されたセキュリティ・コンプライアンスです。