近年、クレジットカードの非接触決済(NFC決済)が普及する一方で、スマートフォンを経由したNFCスキミングによるカード情報の盗難という新たな犯罪手口が報告されています。犯罪者がスマートフォンのNFC機能を悪用し、他人のクレジットカード情報を無断で読み取り、不正決済に利用する手口が2024年から2025年にかけて各国で報告され始めました。
2023年11月頃からチェコの複数の銀行の顧客が標的となり、Androidスマホ用の新型マルウェア「NGate」によってクレジットカードの非接触情報が盗み取られる事件が発生。被害者のスマホに偽の銀行アプリをインストールさせ、NFCを有効化してカードをスマホ背面にかざすよう誘導し、カードのNFCデータを盗み出して遠隔地の攻撃者のスマホに転送。複製したカード情報を使いATMから現金を引き出す手口。
NGateの手口を発展させた犯罪テクニックが地下フォーラム上で「Ghost Tap」という名称で2024年中頃から売買・共有。改造版のNFCリレー用アプリ(NFCGateの改変版)をインストールしたAndroidスマホを使用し、盗んだカード情報をリアルタイムに別の端末へ中継する手口。
2024年末ごろ、ロシアのユーザーを狙った巧妙なNFC悪用詐欺が報告。犯人は「政府機関の公式アプリ」や「銀行のサービス」と偽ったスマホアプリを提供し、「本人確認のため」と称してクレジットカードをスマホにかざし、PINコードを入力するよう促し情報を盗み取り。
2025年3月、米国テネシー州ノックスビル当局は、中国人犯罪グループによる新手のTap-to-Pay詐欺を摘発・逮捕。フィッシングSMSでカード情報とワンタイムパスコード(OTP)を詐取し、取得したカードを多数の中古スマホにApple/Googleのデジタルカードとして登録。決済信号を中継するカスタムアプリが動作するAndroid端末を使い、ギフトカードを不正購入。
犯人がNFCリーダー機能を持つスマホや小型端末を携行し、被害者のカードにこっそり近づけて情報を読み取る手口。満員電車やバス、混雑したショッピングモールなど人込みが狙われる。被害者に気付かれない短時間の接触でカード番号や有効期限などを抜き取ることが可能。
NFC通信を中継してカード不正利用を行うリレー攻撃。フィッシングや近接スキミングでカード情報を取得した上で、攻撃者は盗んだカードを自分のスマホのウォレットアプリに登録し、遠隔地にいる協力者のスマホと通信させて不正決済を実行。NFCリレー用アプリとインターネット経由の中継サーバーでNFC信号を橋渡しする。
フィッシング詐欺で入手したカード情報をスマホ決済に転用。宅配便の未払い料金や交通料金の延滞通知を装ったSMSでカード情報とOTPを詐取し、Apple Pay/Google Payにカードを登録。「他人のカードが入ったスマホ」で実店舗での商品購入や現金化を行う。
報告例を分析すると、Androidスマートフォンが関与するケースが圧倒的に多いことが分かります。NGateマルウェアもGhost Tapリレーも、基本的にはAndroid端末上で動作する不正アプリによって成立しています。一方、AppleのiPhoneについては、2025年現在までに同様のNFCスキミング用マルウェアやウイルスが確認された事例はほぼありません。
| セキュリティ項目 | Apple (iPhone / Apple Pay) | Android (Google Pay 等) |
|---|---|---|
| カード情報の保管方法 | デバイスごとに割り当てられたデバイスアカウント番号(DAN)を使用。DANは端末内のSecure Elementに暗号化され安全に格納。カード番号自体はAppleにも保存されず、端末外に出ることはない。 | ホストカードエミュレーション(HCE)方式を採用。カード追加時に生成されるバーチャルアカウント番号をGoogleのサーバー側に保存。端末内に専用チップは不要だが、クラウド経由で管理される。 |
| 決済時の認証・トークン | WalletのDANと毎回生成される一回限りの動的セキュリティコードで取引実行。ユーザーは支払い直前にTouch ID/Face IDまたはパスコードで認証。原則として毎回ユーザー認証が必要(一部例外を除く)。 | 一時的なシングルユースのトークン(決済トークン)を発行。トークンはその都度Googleサーバーを介して銀行に中継・承認される。基本的に端末のロック解除=ユーザー認証。一定時間内の少額決済では再認証なしで連続利用可能な設定もある。 |
| ハードウェアセキュリティ | Apple独自のSecure Enclaveによる鍵管理とSecure Element内処理により、秘密鍵やトークンをOSから隔離。改ざん耐性が高く、Jailbreak(脱獄)された端末でも決済用データは平文で取り出せない。 | 端末ハードウェア上の専用チップは必須ではない(HCEのため)。近年は多くの端末にeSE(組み込みセキュアエレメント)やTrustZoneが搭載。GoogleはSafetyNet(Play Integrity)で改造端末を検知し、Root権限取得済み端末でのGoogle Pay利用を制限。 |
| プライバシーとデータ管理 | 取引の詳細(購入場所や金額)はApple側に送信されず、Appleはユーザーの支払い履歴を保持しない。カードのトークン化・認証はカード発行銀行と直接やり取り。 | 取引にはGoogleのサーバーが介在し、決済トークンが一度Google経由で処理されるため、Googleはユーザーの取引情報に一定のアクセス権を持つ。不正検知にも活用。 |
| 不正アプリ対策 | Appleの審査を通過した公式Appのみ動作。サードパーティはカード決済用NFC機能へ直接アクセス不可。万一の紛失時も「探す」機能等で遠隔からウォレットを無効化可能。 | Google Playストアおよびデバイス内のPlay Protectによるマルウェアスキャンで不審なアプリを検知・ブロック。公式ストア以外からのインストールを行う際も警告が表示されるが、ユーザーが許可すればインストール可能。 |