たまに役立つセキュリティ豆知識 第85回

バレにくいGhost Tap攻撃など不正利用による金銭被害に要注意

かざすだけの「NFCタッチ決済」は便利だが個人情報を盗む怖い攻撃に遭う恐れも

タッチしてゴー！

かざすだけで利用できる便利な技術

Ｑ：「NFC（タッチ決済）」ってなに？

Ａ：「Near Field Communication」の略で日本語では「近距離無線通信」と呼ばれることもある。ICカードやスマートフォンをかざすだけで通信できる技術。

　交通系ICカードや入退室管理用のICカードなどに利用されるほか、スマホに内蔵されたNFCチップによるタッチ決済にも使われている。通信に利用される周波数帯は13.56MHzで、通信距離は4cm以内とごく短い。

　通信には読み取り側の「リーダー」と、読み取られる側の「タグ」が必要だが、ICカードタイプの場合は電源が不要というメリットもある。なお混同されやすいが、「FeliCa」はソニーが開発したNFCに内包される規格であり、日本でよく利用されている。

　現在、NFCを利用した「NFCタッチ決済」は広く普及しているが、それを狙ったサイバー攻撃も増えている。たとえば、攻撃者がターゲットのICカードやスマホのタグとリーダーとの通信を中継して不正に決済する攻撃は「リレー攻撃」と呼ばれる。ICカードやスマホにこっそり近づいて内容を不正に読み取る攻撃は「スキミング」と呼ばれ、個人情報やカード情報が盗み取られる可能性がある。

　また、スマホを「NGate」と呼ばれるマルウェアに感染させることで、NFC通信からクレジットカード情報を含む個人情報を盗み出す手法も有名だ。

　さらに最近注目されているのが「Ghost Tap攻撃」。攻撃者は盗み出したターゲットのクレジットカード情報などを自身のスマホに登録し、さらに協力者となる第三者を募集。協力者にAndroidアプリ「NFCGate」をインストールさせ、攻撃者と協力者との間でNFC情報を共有する。

　協力者は窃取された情報を不正に利用してNFCタッチ決済を実行し、ターゲットに損害を与える。情報をリレーすることで、NFCタッチ決済を直接的に利用する人物が特定されにくく、攻撃者と協力者が物理的に離れていることもあり、前述したNGateによる攻撃と比べて不正利用が発覚しにくいという特徴がある。

　NFCタッチ決済は少額であることが多く、被害に気づきにくい。Androidスマホは公式ストア以外からのアプリダウンロードを避け、マルウェア感染に十分気をつけるべきだろう。