ATMでスマホかざすだけで80万元！容疑者摘発で明らかになった“NFC悪用”の盗難手口と違法アプリの脅威

スマートフォンをATMにかざすだけであなたの銀行口座が狙われる時代が到来した。中国・江西省で発覚したNFCを悪用した「非接触型カード盗難」事件をきっかけに、違法アプリや進化するマルウェアによる個人情報犯罪への警鐘が高まっている。国家レベルの取り締まりや国際的なサイバー犯罪摘発事例にまつわる報道も目立つ。

■便利さの裏の罠

キャッシュレス社会の利便性が向上する一方で、「非接触型盗難」という新たな犯罪が広がりつつある。中国江西省九江市で摘発された事件では、犯罪者は2台のスマートフォンだけで銀行カード情報を非接触で複製し、ATMから現金を不正に引き出した。

■「スマホNFCスキミング」の衝撃

江西九江市で警察が摘発した事件の犯人は、スマホに搭載されたNFC（近距離無線通信）を悪用。スマホがカード情報をシミュレートし、ATMと通信して現金を引き出していた。この犯罪グループは短期間に80万元（約1,650万円）を超える現金を不正に取得し、複数都市で同じ手口を繰り返していたことが判明している。

1台のデバイスを銀行カードにかざすと、もう一方のデバイスが銀行カードの情報を“非接触”で複製できてしまう。そのプロセスではパスワードの入力は一切不要。複製されたデータを取り込んだデバイスを使えば、ATMからの不正な現金引き出しや、無許可でのカード利用（スキミング）が成功する可能性があるという。従来の物理的スキミングから、NFCを活用した非接触スキミングへと、犯罪手法が進化している。

■見えない脅威——違法アプリと最新マルウェア

カード情報流出の原因はATMやPOS端末に限らない。中国当局（国家インターネット情報弁公室）は、個人情報を不正に収集・漏洩する危険性がある「違法・違反アプリ」68種を公表。Weixin/WeChatミニプログラムや主要なアプリストアでの配信停止措置を進めている。何度も摘発が行われても、新たな手口や亜種が出現するため警鐘が鳴り止まないのは、国、地域を問わず共通している。

国際的には「Lumma」「XWorm」「AsyncRAT」「Remcos」「LockBit」など、注意すべきマルウェア5選がとくに警告されている。「Lumma Stealer」は世界39万台以上に感染し、パスワードや暗号資産を盗み取っていたとされる。「LockBit」については2024年2月に米英当局が主導し、日本を含む国際協力によって大規模なインフラ遮断作戦が実施されたが、サイバーセキュリティ機関は継続して警戒を呼びかけている。

■自分でできる防衛策は？

キャッシュレスサービスを安全に利用するためには、ATMやPOS端末使用に際して周囲の安全を確認し、暗証番号を周囲に見られないように入力するのが基本。デバイスのNFC機能や位置情報も必要な場合のみオンにする習慣を身につけるのが望ましそうだ。

また、アプリ導入時は公式のストアを利用し、プライバシーポリシーの確認を徹底することにも留意したい。金融機関や政府当局もNFC機能の一時停止や追加認証を導入するなど、対応策を進めている。しかし、日常の「小さな警戒」こそが最大の防衛策となる。

（編集：耕雲）