NFCゴーストタップ：2025年に35倍急増した非接触決済詐欺の手口

カードをかざして、コーヒーを受け取って、立ち去る。非接触決済は速くて便利です。しかし今、サイバー犯罪者たちの格好のターゲットになっています。「ゴーストタップ」と呼ばれる手口が2025年に入って35倍に急増し、盗んだカード情報で世界中から追跡不能な決済が行われています。

ゴーストタップ攻撃とは？

ゴーストタップはNFCリレー攻撃です。カードを物理的にコピーする代わりに、カードのNFCデータをキャプチャし、リアルタイムで遠隔デバイスに中継して決済します。

1. カード情報の窃取 — フィッシングSMS、バンキングアプリ上のマルウェアオーバーレイ、ソーシャルエンジニアリングでカード番号とOTPを入手
2. モバイルウォレットに登録 — 盗んだ情報を攻撃者のスマホのApple PayやGoogle ウォレットに登録
3. NFC信号を中継 — NFCGateなどのソフトウェアでNFC信号を遠隔の「運び屋」に転送
4. 決済実行 — 運び屋が世界中の店舗で非接触決済限度額以下の少額決済を実行

全プロセスは数秒で完了します。カードは財布の中にあるのに、別の国で誰かがそのカードで買い物をしているのです。

なぜ検知が難しいのか

従来の不正検知は異常パターン（不審な場所、高額決済、連続取引）を探します。ゴーストタップはこれらすべてを回避します。

検知方法	ゴーストタップが回避する理由
位置確認	実店舗の実POS端末で決済
金額基準	非接触限度額（通常1万円前後）以下
カード提示確認	NFC信号が正規のタッチと同一
速度チェック	運び屋が複数の店舗・都市に分散
デバイス識別	運び屋ごとに異なるスマホを使用

銀行から見ると、通常の店舗内少額決済にしか見えません。カード所有者が覚えのない請求に気づくまで、アラートは一切発生しません。

35倍急増の背景

オープンソースNFCツールの普及

学術研究用に開発されたNFCGateが広く利用可能になり、NFC中継機能がTelegramやダークウェブの詐欺チュートリアルで詳細に解説されるようになりました。

モバイル決済の普及

Apple Pay、Google ウォレット、iD、QUICPayなど非接触決済が標準になり、攻撃対象が大幅に拡大しました。

組織化された運び屋ネットワーク

犯罪組織がSNSやLINEを通じて運び屋を募集し、不正決済額の一部を報酬として提供しています。

自分を守る方法

すぐにできる対策

1. リアルタイム決済通知をオン — すべてのカード取引に対する即時通知が最初の防衛線
2. 非接触限度額を下げる — 銀行アプリで非接触決済の限度額を個別に設定
3. 生体認証を必須に — Apple PayでFace IDまたは指紋認証を毎回要求する設定に
4. OTPを絶対に共有しない — 銀行が電話やSMSでワンタイムパスワードを聞くことはない
5. 週1回明細を確認 — 1,000〜3,000円程度の少額不正請求は見落とされるよう設計されている

オンラインでの機密情報保護

ゴーストタップの出発点は盗まれたデータです。カード番号、認証コード、個人情報など、オンラインで共有するすべての機密情報が潜在的な侵入経路になります。

パスワードや金融情報を共有する際は、LINEのトーク履歴に残る平文ではなく、暗号化されたチャネルを使いましょう。LOCK.PUBを使えば、パスワードで保護され自動的に期限切れになるリンクで機密情報を安全に共有できます。

被害に遭った場合

1. 即座にカードを停止 — 銀行アプリでカードをロック
2. 銀行の不正利用窓口に連絡 — 多くの銀行が不正な非接触取引を補償
3. 警察に届出 — 被害届は補償請求に必要
4. 連携ウォレットを確認 — Apple Pay、Google Payに登録されているデバイスを点検
5. 銀行アプリのパスワード変更 — OTPが漏洩した場合、アプリの認証情報も変更

まとめ

ゴーストタップは利便性とセキュリティの間の根本的な矛盾を示しています。通知をオンにし、OTP要求を疑い、機密情報を平文で共有しないでください。LOCK.PUBのようなツールで、大切なデータが無防備なチャネルに残らないよう管理しましょう。

タッチ決済は便利であるべきです。ただし、それは必ずあなた自身のタッチでなければなりません。