問題となる事例はIOCTA 2016のレポートの30ページ目、「Future Threats and Developments」で参照できる。この項目は主に最新トレンドや潜在的脅威をまとめたもので、前半が最新技術を組み合わせたATMの稼働状況と、ICチップ付きカードであるEMV(Europay, MasterCard, Visa)の展開状況に関する説明がまとめられており、後半が今回のトピックとなる「AndroidとNFC」に関する説明だ。丸ごと翻訳すると下記のような内容となる。
---- The possibility of compromising NFC transactions was ex- plored by academia years ago and it appears that fraudsters have finally made progress in the area. Several vendors in the Darknet offer software that uploads compromised card data onto Android phones in order to make payments at any stores accepting NFC payments. Moreover, at least one Member State reports instances of OCGs using contactless cards pur- chased from individuals who then report the card as lost. The OCGs were able to reset the cards once they had reached the purchase limit thereby allowing continued spending. NFCトランザクションを危険に晒す可能性については数年前から学術研究が進んでおり、サイバー犯罪者らが最終的にこの分野での進展を実現したとみられている。ダークネット(Darknet)内のいくつかの売り手は、NFC決済を受け付けるいかなる小売店での支払いも可能にするような入手したカードデータをAndroid携帯上へとアップロードするソフトウェアの提供を行っている。さらに、少なくともわれわれの組織の1つが、カード紛失を申し出ている個人から入手した非接触カードを使っている犯罪組織(OCG)の事例を報告している。このOCGではカードが購入上限に達した場合に設定をリセットすることが可能であり、さらなる継続購入を可能にしている。
Fraudulent use of NFC payments would have a number of un- expected consequences including the inability of merchants to confiscate the compromised card. Currently, when mer- chants detect a fraudulent transaction they are requested to seize the card. However, the confiscation may not be feasible when the compromised card data are recorded on the buy- er's smartphone. NFC決済の不正利用は、小売店側が不正なカード利用が発覚してカード提示を求めたとしても、問題のカードを没収できないがゆえに予測できない問題を大量に抱えている。一方で、これら不正なカードデータが購入者のスマートフォン上に書き込まれていたとしても、実際の没収は行えないという問題もある。 ----
BBCが紹介しているのは昨年2015年夏に出された「Practical Experiences on NFC Relay Attacks with Android」という論文の例だ。本来はNFC決済で利用されるEMV Contactlessは暗号化された状態で通信が行われており、カード情報などを盗み見ることは難しい。ところが「リレー攻撃」と呼ばれる仕掛けを噛ませることで、両者の通信に仲介できるという理論だ。