かつては、ガソリンスタンドにおけるカード情報のスキミングの大半は、読み取り機のハードウェアに特殊なデバイスを設置して行われていた。この手法は、低スキルなハッカーにも実行可能なものだった。
しかし、クレジットカード大手のVisaは新しいタイプの攻撃を警告している。FIN8と呼ばれる高度なスキルを持つハッカー集団が、ガソリンスタンドのPOSシステムに侵入し、ハードウェアの改変無しでデータを盗んでいるという。
従来のカードスキミングは、不格好なハードが露出している場合も多く、容易に発見が可能だったが、FIN8の手法の場合、外見からは全く被害が予測できないという。また、ブルートゥース経由でカードデータを盗む手口の場合も、アプリでネットワークを調べれば、その場で不正を突き止めることが可能だったが、FIN8の攻撃はアプリで検知することは出来ない。
しかし、これに対抗する手段が全く無い訳ではない。現金を使うというのも有効な対策だが、ICチップを搭載した「Chip&PIN」方式のカードであればセキュリティを高められるのだ。
現行のほとんどのクレジットカードはChip&PIN方式になっており、正確なPINコードを入力しないと決済できない仕組みになっている。Visaによると、FIN8が攻撃のターゲットとするのは主に、旧式の磁気ストライプ方式のカードだという。
しかし、問題はChip&PIN方式のカードのセキュリティのメリットが得られるのは、POSシステムがこのテクノロジーに対応している場合に限られることだ。米国では今もなお、多くのガソリンスタンドが、ハードウェアの更新コストの高さを敬遠して、古いハードを使用中だ。
Visaはこの問題に対処するため、小売業者らにハードウェアの更新を呼びかけている。2020年10月までに加盟店が読み取り端末を更新しなかった場合、それ以降に発生した不正被害は、加盟店側の負担になるという。
