たまに役立つセキュリティ豆知識 第109回

NFC非接触決済を悪用する詐欺のこと！

お化けにお金を盗まれた!? タッチ決済に潜む「ゴーストタッピング」の恐怖

お化けにお金を盗まれた!?

気軽で便利なタッチ決済が狙われている

Ｑ：「ゴーストタッピング」ってなに？

Ａ：NFC非接触決済（タッチ決済）の仕組みを悪用した詐欺のこと

　「NFC（Near Field Communication／近距離無線通信）」を搭載したスマートフォンやクレジットカード、交通系ICカードを狙って非接触決済、いわゆる「タッチ決済」を悪用する詐欺。

　詐欺師はモバイルNFCリーダーや改造されたPOS端末など、専用のデバイスを用意して人混みのなかでターゲットに接近し、ポケットや財布に入ったNFC対応のスマホ、クレジットカード、ICカードにデバイスをかざして不正な取引を成立させる。

　具体的な被害としては、モバイルウォレットから金銭を盗み取られたり、クレジットカード決済を不正に実行されたりすることが考えられる。ただしスマホの場合、NFC非接触決済の際に生体認証を求められるケースが多いため、実際にはクレジットカードやICカードが狙われる可能性が高い。

　一方で、ユーザーが非接触決済の取引をよく確認しないために詐欺被害に遭うこともある。

　たとえば、詐欺師は「NFC非接触決済が利用できる街頭での募金活動」を装って、ユーザーの意図した募金額以上の金額を強制的に決済する。少額だと油断して決済額の確認を怠ると詐欺被害に遭ってしまうだろう。「100円の募金」をしたつもりが、後から明細を見ると5000円が引き落とされていた、などという事態になりかねない。

　現時点で日本での被害は報道されていないものの、アメリカでは慈善団体を騙った詐欺師が学生支援のチャリティー募金を装ってタッチ決済による寄付を促し、本来の金額より大きな不正請求をする詐欺行為があったことが報告されている。

　現地報道によると被害者の1人は537ドルを、ほかの被害者も1100ドルを不正に請求されたとのこと。なお、募金は（学生たちに贈る）チョコレート購入という名目だったため、提示されていた寄付額はおそらく数ドル程度だったと思われる。

　もちろん、スマホ経由なら画面を確認してすぐに対応できるが、クレジットカードやICカードの場合はその場で気付きにくい。特に店舗外での非接触決済の際には、取引状況がその場で確認できるかどうか注意しておきたい。

　さらに、Androidスマホが「Ghost Tap」「NGate」といったウイルスに感染していると、NFC決済の際にクレジットカード情報をはじめとする個人情報が盗まれる危険もある。

　SMSなどで送られてきたメッセージが不正なアプリのインストールを促され、感染した事例が報告されているので、公式ストア外からのアプリインストールは厳に慎むべきだろう。