NFC 決済は非接触決済の一種で、近距離無線通信 (Near Field Communication) という技術が採用されています。NFC では、短距離の無線技術を使って、スマートフォンや決済端末などのデバイス同士が数センチメートル以内に近づいたときのみ、この 2 台のデバイス間で通信することを可能にします。この技術は、近年急速に普及が進み、多数の最新スマートフォンや支払いカードに導入されています。2022 年には、NFC を導入した非接触型カードあるいはモバイル決済ウォレットを使用している消費者の割合は、9 カ国で全体の 85% に上りました。
デバイスをかざすだけで支払いを完了できる NFC 決済は、ユーザーの決済体験を様変わりさせています。便利さを求めるユーザーの期待に応えるべく、シンプルな決済方法の導入を進める世の中の流れの一端を担っています。しかし、NFC 決済は単に便利なだけではありません。スピーディーな取引を実現しながら高度なセキュリティ基準を満たすことのできるこの技術は、業界を代表する存在です。
デジタルウォレットやウェアラブル技術の普及が進む中、NFC 決済は標準の決済手段として、利用できる場がますます広がってきています。このように、決済手段として人気の高い NFC 決済ですが、あわてて導入する前に考えておかなければならないのがセキュリティの問題です。こちらの記事では、安全な NFC 決済を実現するために知っておくべきことをご紹介します。
この記事の内容
- NFC 決済の主な特徴
- NFC 決済の仕組み
- NFC 決済のセキュリティ対策
- NFC 決済に関連した脅威とリスク
- NFC のセキュリティ: リスクと脆弱性を減らす方法
NFC 決済の主な特徴
NFC 決済には、購入者と企業の双方にとってこれを好ましい選択肢にしている、いくつかの重要な特徴があります。まず、それらの特徴について簡単に説明します。
非接触型通信
NFC 決済の最も大きな特徴が、物理的な接触なしに取引を実行できることです。NFC 対応の決済用デバイス (スマートフォンやカード) と決済用端末を近づけると、この 2 台のデバイス同士でデータを交換することができます。スピードと利便性
NFC による取引は、従来の決済手段を使用した取引よりも短時間で完了できます。購入者は、自分のデバイスを端末にかざすだけで、数秒で取引を完了できます。このスピードが、決済のプロセスに、これまでにないスムーズさと利便性をもたらしています。セキュリティ
NFC での決済は、安全な方法であるとの認識が定着しています。NFC では、クレジットカード番号などの機密情報を保護するために、暗号化の技術をよく採用しています。また、多くのスマートフォンでは決済の完了前に (指紋認証やパスコードを使用した) 認証が必須となっており、それが、セキュリティを一段と高める結果となっています。柔軟性と連携
NFC 技術は柔軟性が高く、スマートフォンやスマートウォッチなどのデバイス、および支払いカードなどと、多種多様な連携が可能です。そのため、購入者は、自分のニーズや好みに最も適したデバイスで、支払いを行うことができます。幅広い互換性
NFC を選ぶ購入者が増えてきているのに伴って、NFC 対応の決済端末を導入する企業の数も増えてきています。大規模小売業者から地域の小規模ビジネスにいたるまで、非接触決済は、幅広い取引の場で利用されるようになってきています。デジタルウォレットに対応
NFC 技術は、Apple Pay、Google Pay、Samsung Pay など、多くのデジタルウォレットに主要な要素として実装されています。デジタルウォレットでは、複数のカード情報を自分のデバイスに安全に保存することができるため、取引に応じて、それらのアカウントやカードの中から最適な方法を柔軟に選ぶことができます。取引履歴と記録
デジタルウォレットでは詳しい取引履歴が残るため、購入者は、NFC を利用した取引を、自分のデジタルウォレットで簡単に確認することができます。摩耗や破損が減る
NFC 決済では、物理的接触が不要であるため、購入者の決済手段 (カードなど)、および企業のハードウェア (カードリーダーなど) の摩耗や破損が減り、こうしたツールの耐用年数を延ばすことができます。
NFC 決済の仕組み
NFC 決済では、ハードウェアとソフトウェアの技術を組み合わせることで、利便性の高い安全な取引を実現しています。次に、その仕組みをご紹介します。
NFC チップのアクティブ化
決済のプロセスは、NFC 対応デバイス (NFC チップを内蔵したスマートフォンや支払いカードなど) をアクティブ化することにより、開始します。チップは通常、購入者がデバイスを NFC 対応の決済端末に近づけることで、アクティブ化します。スマートフォンを使用するときは、アクティブ化の際に、パスコードや指紋認証、顔認証などを使ったユーザー認証が必要になることもあります。通信が確立
NFC チップは、アクティブ化すると、決済端末との通信を開始します。この通信は、電波を介して行われます。NFC は、周波数 13.56 MHz で作動し、通信可能な距離は一般的に 4 cm 以内です。この短い距離が、セキュリティの手段として機能し、送信されるデータの無用な傍受を防いでいます。データを転送
通信が確立すると、NFC デバイスが決済端末にデータを送信します。このデータには、取引金額、カード詳細、その他関連情報など、取引の処理に必要な決済情報が含まれています。データ転送は、機密情報を保護するため暗号化されます。決済代行業者の役割
決済端末がデータを受信すると、その情報は決済代行業者に送信されます。決済代行業者の役割は、決済したデバイスに関連付けられた銀行またはカード発行会社に、取引の決済情報に関する確認をとることです。認証とオーソリ
銀行またはカード発行会社は、取引のリクエストを受信すると、購入者が本人であること、および十分な資金または与信枠があることを確認します。カード詳細の確認や、取引額が所定の限度内であることの確認もここで行います。取引の承認、または拒否
本人確認後、銀行またはカード発行会社が、取引を承認または拒否します。この決定が、決済代行業者を通じて決済端末に返されます。取引の完了
取引が承認されると、決済端末での処理が完了し、画面に取引確定などのメッセージが表示されます。スマートフォンや NFC 対応のその他デバイスを使用した場合は、そのデバイスにも確定通知が届くことがあります。取引の記録
取引の詳細は、企業の決済システムによって記録され、スマートフォンやデジタルウォレットを使用した場合は、購入者のデバイスにも記録されます。そのため、購入者は、自分の取引履歴を簡単に追跡、管理することができます。
NFC 取引の処理では、安全とスピードの両方に重点がおかれています。データ暗号化とデバイス認証の技術により取引の安全を確保しながら、シンプルかつスピーディーな処理を実現した NFC 決済は、購入者と企業の双方に都合の良い選択肢となっています。
NFC 決済のセキュリティ対策
NFC 決済には、不正利用や不正アクセスを防ぐために、複数のセキュリティ対策が導入されています。次に、これらの対策についてご紹介します。
暗号化
NFC デバイス (スマートフォンやクレジットカードなど) と決済端末の間で送信されるデータは、暗号化されます。暗号化によりデータを安全なコードに変換することで、権限のない者がクレジットカード番号や取引金額などの機密情報を傍受することを防ぎます。トークン化
多くの NFC 決済システムに採用されているのが、トークン化です。トークン化では、実際のカード番号を送信する代わりに、一意のデジタルトークンが使用されます。トークンはクレジットカード番号の代わりとなるものですが、そのトークンが生成された特定の取引以外には使用できないため、傍受されたとしても第三者には使い道がありません。近距離通信
NFC という名称の由来である近距離無線通信 (Near Field Communication) 技術の性質そのものが、この決済手段のセキュリティレベルを高めています。決済端末から数センチメートル以内でデバイスをかざさないと取引を実行できないため、デバイスが誤って、または不正に、データを傍受するリスクを減らすことができます。デバイス認証
スマートフォンやその他デバイスから NFC 決済を行うときは、多くの場合、デバイス認証が必要になります。デバイス認証では、一般的にパスコード、指紋認証、顔認証などを使用し、取引を実行している人がデバイスの所有者と同一人物であることを確認します。動的な認証コード
NFC 決済では、取引のたびに一意の認証コードが生成されます。万が一、取引の情報が傍受されても、同じコードを別の取引に再利用することはできないため、不正利用が繰り返されるリスクを回避することができます。セキュアエレメント
セキュアエレメントとは、NFC 機能を持つスマートフォンの多くに搭載されている、決済情報を安全に保存するための専用のチップのことです。このチップは、ハッキングされた場合の予防策として、スマートフォンのメイン OS から分離されています。取引の限度額
銀行や金融機関の中には、大規模な不正取引が生じるリスクを避けるため、NFC の取引金額に上限を設定しているところがあります。取引金額がこの上限を超えると、PIN の入力など従来の認証手続きが必要になる場合があります。リアルタイムの不正利用モニタリング
銀行や決済代行業者の多くが、取引をリアルタイムで監視し、不審な動きをチェックしています。それにより、異常なパターンが検出されたときは、取引拒否や購入者への通知などを通じてすみやかに対応できるようにしています。追加の本人確認
場合によっては、特に高額の取引の場合など、決済システムから、PIN の入力や領収書への署名などにより、購入者の本人確認を追加で求められることがあります。
こうしたセキュリティ対策を組み合わせることで、NFC は、さまざまな種類の不正利用や不正アクセスを何重もの防御壁で防いでいます。
NFC 決済に関連した脅威とリスク
NFC 決済には強力なセキュリティ対策が施されていますが、潜在的な脅威の影響をまったく受けないわけではありません。次に、NFC 決済に付随する脆弱性とリスクについて説明します。
既知の脆弱性および攻撃ベクトル
傍受
傍受とは、NFC 決済の文脈では、取引時に送信される NFC 信号を、許可を受けていないデバイスで取得することを意味します。NFC は無線通信であるため、第三者がデータを傍受することは、そのための機器があり、通信の範囲内にいれば、理論的には可能です。データの改ざん
データが送信される一瞬の間に、NFC デバイスと決済端末との間でやり取りされる通信を改ざんすることは、きわめて高度な知識を持つ攻撃者であれば不可能ではありません。それにより、実際とは異なる金額が請求されたり、別の人に金額が請求されたり、といったことが起こりえます。デバイスの紛失や盗難
NFC 対応のデバイスは、所有者が PIN や生体認証を使ってロックをかけていなかった場合、紛失や盗難の際に不正取引に利用される恐れがあります。セキュアエレメントが搭載されていた場合でも、紛失や盗難からその届出までの間に悪用される可能性はあります。リレー攻撃
リレー攻撃とは、攻撃者が、NFC 通信が可能なデバイスを使って、正規の NFC 対応デバイス (スマートフォンやクレジットカードなど) と決済端末との通信に割り込む攻撃のことです。攻撃者のデバイスは媒介として機能し、正規のデバイスから情報を盗みとり、それを決済端末に送信します。スキミング
スキミング犯は、偽の決済端末を作ったり、正規の端末を改ざんしたりするなどして、NFC 対応のデバイスから情報を取得しようとします。そして、手に入れたデータでクレジットカードを偽造したり、不正な取引を行ったりします。
現実でのセキュリティ侵害のシナリオ
偽の端末
NFC 決済のデータを盗もうとする犯人にだまされた企業が、偽の端末を設置し、データを盗まれるという事件は、数多く発生しています。個人を標的とした攻撃
著名人や、資産家として知られる人物は、NFC 関連の攻撃 (傍受やリレー攻撃など) 対象になりやすく、とりわけ混雑した公共空間で攻撃に遭いやすいとされています。ソフトウェアの脆弱性
不正行為を働く人は、NFC 対応デバイスや端末上のソフトウェアのセキュリティの欠陥を突いて、資金や決済情報に不正にアクセスする可能性があります。
NFC のセキュリティ: リスクと脆弱性を減らす方法
不正利用や不正アクセスのリスクを抑えるために企業が活用できるソリューションは、さまざま存在します。小規模事業者がカード端末のプロバイダーを選ぶときは、リスクと脆弱性を減らす方法に特に気を配る必要があります。
次は、先手を打って自社のビジネスと顧客を守る方法をご紹介します。
小規模事業者の場合
従業員教育
自社の従業員に、NFC 技術とそれに関連する一般的な脅威をしっかりと理解させます。カード端末が改ざんされた可能性を示す、不審な動作や不審なデバイスの見分け方についても指導します。更新とパッチ適用を定期的に実施
決済端末のソフトウェアは、常に最新の状態に保ちます。ソフトウェアを更新することで、攻撃者に悪用される可能性のある脆弱性を、修正することができます。セキュリティを高める構成を実装
所定の金額を超える取引には PIN をリクエストするように、端末およびデバイスを設定します。それにより、NFC 対応デバイスが不正アクセスされた場合に、大規模な不正取引の発生を防ぐことができます。物理的なセキュリティ対策を実施
決済端末を従業員の目が届く場所に置けば、不正利用のリスクを減らすことができます。取引を監視
取引記録に異常な活動がないか、常に注視します。異常なパターンをすばやく発見することが、不正取引のさらなる発生を防ぐことにつながります。信頼できるプロバイダーを選ぶ
決済端末は、セキュリティとカスタマーサービスに定評があるプロバイダーのものを選びます。
カード端末プロバイダーを選ぶ際の注意点
セキュリティインシデント
そのプロバイダーの、過去のセキュリティインシデントを確認します。レビューやケーススタディを読み、これまでセキュリティ上の問題にどのように対応してきたのかをチェックします。基準への準拠状況
端末プロバイダーが、PCI データセキュリティ基準 (PCI DSS) など業界のセキュリティ基準に準拠しているか、入念にチェックします。セキュリティ機能
プロバイダーの端末が、エンドツーエンドの暗号化やトークン化など、高度なセキュリティ機能を備えているか確認します。サポートと対応の速さ
カスタマーサポート体制が万全で、セキュリティ関連の問題が発生したときにはすばやく対応できる端末プロバイダーを選びます。透明性の高いポリシー
端末プロバイダーは、データの取り扱い方、プライバシーの対応方法、取引データを保護するための対策などに関して、明確なポリシーを規定している必要があります。
これらの方法に従い、自社と同程度にセキュリティを重視しているパートナーを選べば、NFC 決済に伴うリスクを大幅に減らすことができます。
Stripe を使って NFC 決済を受け付ける場合は、こちらで、その方法がいかに安全性を高めるのかについて解説しています。
この記事の内容は、一般的な情報および教育のみを目的としており、法律上または税務上のアドバイスとして解釈されるべきではありません。Stripe は、記事内の情報の正確性、完全性、妥当性、または最新性を保証または請け合うものではありません。特定の状況については、管轄区域で活動する資格のある有能な弁護士または会計士に助言を求める必要があります。