近年、非接触決済(NFC決済)の普及に伴い、スマートフォンを悪用したNFCスキミングによるカード情報盗難が新たな脅威として浮上しています。特に2024年から2025年にかけて、世界各国でこの種の被害事例が報告されています。この記事では、最新の被害事例と犯行手口、端末ごとの被害状況の違い、そして各プラットフォームのセキュリティ対策について解説します。
スマートフォンを悪用したNFCスキミング被害(2024〜2025年)と対策
主な被害事例(2024〜2025年)
チェコ共和国 – 「NGate」マルウェア事件(2023年末〜2024年初頭)
- 2023年11月頃からチェコの銀行顧客を標的に
- Androidスマホ用マルウェア「NGate」によるカード情報盗取
- 偽の銀行アプリをインストールさせ、NFCを有効化
- クレジットカードをスマホ背面にかざすよう誘導
- 盗んだデータを遠隔地の攻撃者に転送
- 2024年3月、プラハのATMで容疑者逮捕
「Ghost Tap」手口の拡散(2024年)
- 上記NGateの手口を発展させた犯罪テクニック
- 地下フォーラムで「Ghost Tap」という名称で売買・共有
- 改造版NFCリレーアプリを使用
- 盗んだカード情報をリアルタイムに別の端末へ中継
ロシア – 偽アプリを使ったNFC詐欺(2024年後半)
- 「政府機関の公式アプリ」や「銀行サービス」を装った偽アプリ
- 制裁の影響で公式アプリが入手困難な状況を悪用
- 「本人確認」と称してカードをスマホにかざすよう促す
- PINコードも入力させて情報を攻撃者に転送
- NFC対応ATMから不正引き出し
アメリカ合衆国 – フィッシングとNFC中継による詐欺(2025年)
- 2025年3月、テネシー州ノックスビルで中国人犯罪グループを摘発
- 他人のカード情報をスマホのモバイルウォレットに登録
- ギフトカードを大量購入する手口
- 宅配業者や高速道路料金請求を装ったフィッシングSMS
- 複数の中古スマホにカードを登録して「カードの詰まった財布」を作成
犯行手口と発生場所の傾向
近接型スキミング(スリ取り)
- NFCリーダー機能を持つスマホや小型端末で情報を読み取る
- 満員電車やバス、混雑したショッピングモールやイベント会場
- 被害者に気付かれない短時間の接触でカード情報を抜き取る
NFCリレー攻撃による遠隔不正利用
- フィッシングや近接スキミングでカード情報を取得
- 盗んだカードをスマホのウォレットアプリに登録
- 遠隔地の協力者のスマホと通信
- NFCリレー用アプリで中継サーバーを経由
- ATMやPOS端末で認証を通す
フィッシングによるデジタルクレカ化
- フィッシング詐欺で入手したカード情報をスマホ決済に転用
- 宅配便の未払い料金や交通料金の延滞通知を装ったSMS
- カード番号・有効期限・CVV・OTP等を詐取
- Apple Pay/Google Payにカードを「本人になりすまして」登録
- 実店舗での商品購入や現金化に利用
iPhoneとAndroidでの被害状況の違い
Android端末の特徴
- 被害報告例が圧倒的に多い
- オープンなプラットフォーム
- 公式ストア以外からアプリをインストール可能
- NFC機能を比較的自由に利用できる
- 不正なNFC中継アプリを作成・実行可能
- マルウェア感染によるNFCリーダー化の危険性
iPhone端末の特徴
- NFC関連のマルウェア・ウイルス報告事例はほぼなし
- App Store経由のみのアプリ入手
- 厳格な審査と署名によるマルウェア防止
- サードパーティ製アプリのNFCアクセス制限
- Secure Enclave(セキュアエンクレーブ)チップによる保護
- デバイスアカウント番号(DAN)によるトークン化
各プラットフォームのNFC/カード決済セキュリティ対策比較
| セキュリティ項目 | Apple (iPhone / Apple Pay) | Android (Google Pay 等) |
|---|---|---|
| カード情報の保管方法 | デバイスアカウント番号(DAN)をSecure Elementに暗号化して格納。カード番号自体は保存されない | ホストカードエミュレーション(HCE)方式。バーチャルアカウント番号をGoogleサーバーに保存 |
| 決済時の認証・トークン | DANと一回限りの動的セキュリティコードを使用。Touch ID/Face ID/パスコードで認証 | シングルユースの決済トークンを発行。端末ロック解除=ユーザー認証 |
| ハードウェアセキュリティ | Secure Enclave による鍵管理と隔離処理。Jailbreak後も秘密鍵は保護 | 専用チップは必須ではない。SafetyNetでRoot端末の検知 |
| プライバシーとデータ管理 | 取引の詳細はAppleに送信されず。支払い履歴も保持しない | Googleサーバー経由で処理。取引情報に一定のアクセス権 |
| 不正アプリ対策 | 公式Appのみ動作。サードパーティはカード決済用NFCに直接アクセス不可 | Play ProtectによるマルウェアスキャンでブロックするがInストールリスクは残る |
対策方法
プラットフォーム側の対策
- 通信遅延を検知してリレー攻撃を見抜く仕組み
- モバイルウォレットでの端末位置情報と決済位置の不一致チェック
- 不正パターンの監視強化(複数デバイスからの同一カード利用アラートなど)
- Apple: デバイス紛失時の「カードの一時停止」機能
- Google: 不審アプリ検出のPlay Protect強化
ユーザー側の対策
- フィッシングメールやSMSに安易に情報を入力しない
- 見知らぬアプリをインストールしない
- カードやスマホをRFIDブロッキングポーチに入れる
- NFC機能を使わないとき無効化する
- デバイスのセキュリティ設定を確認する
- 不審な取引があれば即座にカード会社に連絡
まとめ
2024年から2025年にかけて現れたスマートフォンを経由したNFCスキミング犯罪は、デジタル技術と従来のカード詐欺手法が融合した新たな脅威です。現在のところ被害報告の多くは海外ですが、日本でも非接触決済の普及に伴い、同様の被害が増加する可能性があります。
利用者・事業者・プラットフォームが一丸となってセキュリティ意識を高め、NFCを活用したキャッシュレス社会の恩恵を安全に享受していくことが重要です。
Follow me!
コメント