2月24日、ハッシュタグ「#ScammersTargetingYourPhoneNFCFunction」がWeiboでトレンド1位を獲得し、激しい議論を巻き起こしました。記事執筆時点で、このトピックは8,734万回以上再生されています。

日常生活では、スマートフォンのNFC機能を使ってバスカードをスワイプしたり、クイック決済を行ったりすることができます。詐欺師はこれをどのように悪用して金銭を盗むのでしょうか？

たった一度の「突っ込み」で数万元が消えた。

公安部刑事捜査局の公式WeChatアカウントで共有された事例には、次のようなものがあった。

李さんは、航空会社のカスタマーサービス担当者を名乗る人物から電話を受けました。電話の相手は、機材故障のためフライトが欠航になったと言い、日程変更か払い戻しを希望するかを尋ねました。李さんは日程変更を選択しました。さらに、保険に加入しているので、銀行カードに300元を払い戻してもらえるが、「法人決済」で手続きする必要があると言われました。

李さんは相手の誘導の下、招商銀行のカードを使ってDouyinプラットフォーム上の「安心融資」サービスを開始し、相手の要求に応じて2回に分けて合計10万元を借り入れた。

相手は李氏に「NFO-X」というアプリをダウンロードし、携帯電話のNFC機能を使ってカード取引を行うよう指示しました。李氏は指示に従い、2件の大きな取引を完了しました。相手が3件目のカード取引を要求した時、李氏は何かがおかしいことに気づきましたが、すでに9万8000元を騙し取られていました。

詐欺師は、フライトの不具合に加え、会員費のキャンセルやタスクの引き出し失敗といった状況を利用して、ユーザーの不安を瞬時に煽ることが多いことが分かっています。そして、該当プラットフォームのカスタマーサービス担当者を装い、払い戻しの手続きを手伝うと謳い、該当アプリのダウンロードを促します。

しかし、被害者が知らなかったのは、アプリをダウンロードした後、指示通りにアカウントにログインするだけで、携帯電話がPOS端末になり、直接カードをスワイプして支払いを受け取ることができるということだった。

詐欺師は、あなたの画面を共有することで銀行カード情報を盗み出し、携帯電話のNFC機能を有効にしてNFC経由のリモート決済を可能にするソフトウェアをダウンロードするよう要求し、銀行カードに返金できると主張します。しかし、返金手続きのために銀行カードを携帯電話に近づけると、実際にはカードの残高が引き落とされます。

CCTVの暴露によると、この種の詐欺で最も重要な要素は画面共有です。画面共有によって、犯人は被害者の銀行カード口座、パスワード、確認コードなどの重要な情報を入手し、資金を送金します。あるいは、被害者を巧妙に誘導して送金させ、詐欺を成立させることもあります。

NFCとは何ですか？

NFC（近距離無線通信）は、電磁誘導を利用して10センチメートル以内のデバイス間でデータを交換できる、短距離・高周波無線通信技術です。RFID（無線周波数識別）技術から発展したもので、カードエミュレーション（携帯電話で公共交通機関の料金を支払うなど）、カードリーダー（NFCタグの情報を読み取る）、ピアツーピア通信（デバイス間の直接通信）の3つのモードをサポートしています。

現在、NFCはモバイル決済、アクセス制御、電子チケット発行などで広く利用されています。さらに、スマートホームコントロールやインタラクティブエンターテイメントといった新たな応用分野も生まれています。例えば、NFCはスマート電球やスマートドアロックに接続して遠隔で電源のオン/オフを切り替えたり、NFC対応ゲームコントローラーでゲーム体験を向上させたりすることができます。

詐欺の蔓延により、多くの人がスマートフォンのNFC機能を警戒しています。今年1月には、アリペイの「タップして支払う」機能が「遠隔地からの金銭窃盗」につながる可能性があるという報道もありましたが、後にこれは仕組まれたものであることが確認されました。アリペイの「タップして支払う」機能を使用するには、スマートフォンのNFC機能が有効になっている必要があることは周知の事実ですが、両者は根本的に異なります。

モバイルNFC決済モードでは、銀行カード情報は暗号化され、スマートフォンのローカルに保存されます。決済時には、決済情報がNFC経由でPOS端末に送信され、POS端末は銀行に決済完了のリクエストを送信します。スマートフォンをインターネットに接続する必要はありません。ただし、「タップして支払う」では、決済情報の保存や送信にスマートフォンのNFCは使用されません。NFCは2つのデバイスを接続するためだけに使用され、その後のプロセスはすべてオンラインで実行されます。

Alipayによると、「Tap to Pay」はバーコード決済の一種です。この決済プロセスでは、ユーザーはスマートフォンのロックを解除し、加盟店の決済端末に軽くタップするだけで決済が完了します。決済プロセス全体を通してユーザーのセキュリティを確保するために、複数のセキュリティ対策が講じられています。

一般ユーザーは何をすべきでしょうか?

携帯電話のNFC機能を利用して詐欺を働く詐欺師の本質は、技術的な脆弱性とユーザーの心理的弱点を悪用し、NFCの利便性を不法な利益を得るための道具に変えることです。

警察は、カスタマーサービスと名乗る電話を受けた際、特にチケットの変更や払い戻しといった機密情報に関する電話を受けた際は、本人確認を行うようユーザーに呼びかけています。不正取引を防ぐため、NFCを使った見慣れない決済は避けてください。

さらに、個人情報の漏洩を防ぐため、画面共有やリモートアシスタンスを有効にするよう要求された場合は、十分に注意して対応してください。詐欺に遭ったと思われる場合は、すぐに銀行のカスタマーサービスに連絡してクレジットカードを凍結し、警察に通報してください。

一部のネットユーザーは、NFCが作動するリスクを減らすために、使用していないときはNFCをオフにすること、NFC決済にパスワードや指紋を登録すること、不明なNFCリーダーにスマートフォンを近づけないようにすることなどを推奨していました。あるいは、スマートフォンのNFCを無効にしておくことも提案されていました。(周小白)