RFIDブロッキング:実際に保護できるものとできないもの
過去 3、4 年以内に RFID ブロッキングウォレットやカードスロットに挿入する薄型の RFID ブロッキングカードを購入した方は、おめでとうございます。カードに IC が搭載されるようになった頃には、ほとんど機能しなくなったカード詐欺の手法から保護されています。マーケティングでは、泥棒が布を通して口座からお金を盗むことができると謳っています。このマーケティングは無線物理学については正しかったのですが、反対側のカードについては間違っていました。その売り文句は直感的です。非接触型カードがデータを無線で送信し、隠されたリーダーを持つ見知らぬ人がそのデータを盗み、お金が消える。これは、私たちが既に理解している物理的な窃盗のルールに従っているため、脳が喜んで受け入れる脅威モデルです。問題は、その無線リンクの反対側にある最新の決済カードが、マーケティングが想定しているようには動作しないことです。
この記事では、RFIDスキミングとは実際どのようなものだったのか、EMV非接触プロトコルによって何が変わったのか、そして現在増加しているNFC詐欺について解説します。ネタバレ:増加している詐欺は、どんな財布でも防ぐことのできない種類のものです。
RFIDスキミングの仕組み
有名なデモはすべて、おおよそ2009年から2013年の間に行われた。パブロス・ホルマンやクリスティン・パジェットといった研究者たちが、DefconやTEDのステージに上がり、誰かのポケットの近くに黒い箱をかざし、クレジットカードの複製を取り出したのだ。カンファレンスの動画クリップは瞬く間に拡散した。財布、スリーブ、パスポートカバーといったアイテムを使った10年間にわたるマーケティングは、まさにその数分間で始まったと言えるだろう。
デモでスキミングされたカードは、いわゆる磁気ストライプ相当のRFID決済システムでした。これは、2005年から2013年頃まで米国で実施されたChase Blinkプログラムのような、初期の非接触型カードに続くものです。このカードは、短距離無線リンクを介して、磁気ストライプにエンコードされたデータとほぼ同じデータ、つまり主要口座番号、有効期限、多くの場合カード所有者名、および静的なカード認証値を送信しました。やや大きめのアンテナを備えたスキマーは、数センチメートル離れた場所から布や薄い革越しにこれらのデータをすべて読み取ることができました。取得したデータがあれば、動作するクローンを空白の磁気ストライプにエンコードし、スワイプ決済を受け付けている加盟店に持ち込むことができました。
これが技術的に機能した理由は、カードがISO 14443規格、つまり無線周波数識別の近距離分野を使用していたためで、これは約10センチメートルの近距離を想定して設計されています。デモンストレーターは、より大きなアンテナとクリーンな電源を使用して、その範囲を広げました。図書館の本や倉庫の在庫タグに使用されているISO 15693規格の近距離タグは、最大70センチメートルから読み取ることができます。決済カードは、この規格に準拠していませんでした。しかし、一般の人々の印象は、カードは部屋の向こう側からでも読み取れるという単一の数字に固執しました。この印象は2010年当時でさえ間違っていましたが、今ではさらに間違っています。
私は、あの恐怖がどれほど根強く残っているのかを何度も考えてしまう。あの有名なデモで使われたカードは、もはや実際には存在しない。決済業界は進化を遂げた。しかし、それらのカードから身を守るために開発された製品カテゴリーは、進化しなかったのだ。
EMVがRFIDブロッキングの脅威を阻止するために販売された理由
磁気ストライプを利用したスキミング攻撃を終息させたのは、より高性能な財布ではなかった。それはEMVチップ、より具体的には、ここ数年で発行されたすべてのVisa、Mastercard、American Express、Discoverカードに搭載されている非接触型EMVだった。
最新の非接触型カードをリーダーにかざすと、次のようなことが起こります。カードと端末は、その単一の取引に固有の取引カウンターで合意します。カード上のチップは、製造時に埋め込まれ、決して送信されない秘密鍵を使用して暗号化ステップを実行し、ARQC(承認要求暗号文)と呼ばれるワンタイム暗号文を計算します。リーダーは、ARQCとその他のいくつかのフィールドを発行銀行に送信して承認を求めます。もしスキマーがポケットの横にあり、同じやり取りを傍受した場合、スキマーが取得できるのはARQC、プライマリ口座番号、有効期限だけで、それ以外はほとんど何も得られません。カード裏面の3桁のコードであるCVV2も、PINも、磁気ストライプのトラック2データも、再利用できるカード認証値も取得できません。
キャプチャしたARQCを再度使用することの何が問題なのでしょうか?カウンターが既に次の値に切り替わっているため、次のトランザクションには次のカウンター値を含む新しい暗号化データが必要になります。発行者の認証システムはリプレイを拒否します。スキムされたデータは、カードの複製や通常の対面販売での利用には役に立ちません。
この非対称性を具体的に示すために、パッシブRFIDスキャナーがEMV非接触カードを1回タップした際に読み取れる情報と、実際に動作するクローンが必要とする情報を比較してみましょう。
| 分野 | EMVのRFIDスキムによって取得されました | クローンまたは再生が必要 |
|---|---|---|
| プライマリーアカウント番号(PAN) | はい | はい |
| 有効期限 | はい | はい |
| クレジットカード名義人氏名 | 時々 | 時々 |
| ARQC暗号文 | はい(使い捨て、綴じ込み式) | いいえ(次の取引には新しいものが必要です) |
| CVV2(カード裏面の3桁の数字) | いいえ | はい、ほとんどのカード非提示決済の場合です。 |
| ピン | いいえ | ATMでの引き出しは可能です。 |
| 完全な磁気ストライプトラック2データ | いいえ | はい、スワイプ専用カードにクローンできます。 |
| カードの秘密鍵 | いいえ(チップからは決して出ません) | はい、有効なARQCを生成します |
この背景にある数字に注目する価値がある。EMV規格を運営する業界団体EMVCoの報告によると、2024年第4四半期時点で、世界中の対面取引の96.20%がICチップを使用している。発行済みカードの約72%がEMV対応となっている。米国では、Visaの報告によると、ICチップへのアップグレードを完了した加盟店では、2015年12月から2017年12月の間に偽造カードによる不正利用額が76%減少した。これは緩やかな傾向ではない。ICチップが対面でのカード偽造の経済的メリットを完全に打ち消しているのだ。
ただし、例外的に言及しておくべきケースが一つあります。取得されたプライマリアカウント番号と有効期限は、3Dセキュア認証を強制しない、あるいはCVV2を確認しない脆弱なカード非提示型加盟店に対して悪用される可能性があります。これは深刻な問題です。また、これはRFIDの問題でもありません。同じ番号が加盟店の情報漏洩、フィッシングページ、スキミングされたeコマース決済などを通じて常に流出しています。ブロッキングウォレットは、これらの問題には何の役にも立ちません。
非接触型不正利用の数字は、RFIDブロッキング製品では決して表示されません
RFIDブロッキング機能付き財布を購入する人は、実際の詐欺被害件数を目にすることはほとんどありません。なぜなら、これらの財布が対象としている詐欺の種類は、実際に金銭的な損失を被っている種類とは異なるからです。
| ソース | 年 | 形 |
|---|---|---|
| 英国金融協会年次不正報告書2025 | 2024 | 英国における非接触型決済の不正利用による損失額は4110万ポンド、2020年以来初めて前年比減少に転じた。 |
| 英国金融 | 2024 | 英国における不正カード詐欺の総額は5億7260万ポンド。 |
| 派生 | 2024 | 非接触型決済の不正利用は、英国におけるカード不正利用全体の約7.2%を占める。 |
| 英国金融 | 2024 | カード非提示型詐欺は、カード詐欺全体の約70%を占め、被害額は4億ポンド以上に上る。 |
| FCAのエンゲージメントペーパー | 2025 | 非接触決済における不正利用率は、100ポンドの非接触決済利用につき1.3ペンスであるのに対し、すべての不正カード取引では100ポンドにつき6ペンスとなっている。 |
| FCA / コンピューターウィークリー | 2024 | 英国における非接触型決済件数:189億件、前年比3.4%増、平均取引額15.86ポンド |
| FICO USカードスキミング2025レビュー | 2025 | アメリカの不正対策機関は、RFIDスキミングを独立した損失カテゴリーとして分離することはできないと明言している。 |
最後の行を二度読んでください。アメリカにおけるRFIDスキミングによる損失額が広く公表されていない理由は、カード詐欺の被害額を集計する人々が、報告に値する意味のある数字を見つけられないからです。ATMスキミングやガソリンスタンドの給油機スキミングは、物理的なデバイスが残るため、集計対象から除外されます。しかし、Defconの映像で紹介されているような、消費者に販売されているRFIDスキミングは、集計対象には含まれません。
端的に言えば、最新のEMV非接触型カードに対するRFIDスキミングによる損失は、統計的に見てほぼゼロと変わらない。コンシューマー・レポート、AARP、KnowBe4のロジャー・グライムズ氏をはじめとする複数の著名なセキュリティ専門家、アイデンティティ盗難リソースセンター、チェース、ビザなどが、いずれも同様の見解を公表している。
カンザスシティ連邦準備銀行は、2018年の決済システムに関するブリーフィングで米国のICチップ導入について調査し、ICチップ対応加盟店でのカード提示型詐欺は移行完了後に急激に減少し、偽造率が低下、一方で犯罪者が抵抗の少ないオンラインチャネルへと移行したため、カード非提示型詐欺率が上昇したことを発見した。この移行こそが、2020年代のカード詐欺の核心的な事実である。あらゆる形態のスキミングは、すでに縮小傾向にあるカード提示型詐欺損失の中でも、さらに小さく縮小している。非接触型スキミングは、その小さな部分の中でもさらに小さい部類に入る。
もう一つ注目すべきデータがあります。英国の非接触決済の上限は2021年に25ポンドから100ポンドに引き上げられましたが、金融行動監視機構(FCA)は2025年に、上限が3月2026から撤廃され、各発行会社が独自の上限を設定することを示唆しました。非接触決済における受動的なスキミングが大きな損失要因であれば、タップごとのリスクが5倍に増加すれば、数字は大きく変動するはずです。しかし、そうはなりませんでした。上限額の引き上げと取引件数の増加にもかかわらず、2024年の非接触決済における不正利用は前年比で減少しました。プロトコルは機能しているのです。
あなたの財布では防げない、真のNFCの脅威
RFIDブロッキング業界が2012年の課題に取り組んでいる間に、攻撃者は次の段階へと進んでいた。現在、最も急速に増加しているNFC詐欺は、あなたのポケットの近くに見知らぬ人物がいることとは全く関係がない。
2024年8月、セキュリティ企業ESETは、NGateと呼ばれるAndroidマルウェアに関する調査結果を発表しました。攻撃の手順は以下のとおりです。被害者は、銀行を装ったテキストメッセージでフィッシング詐欺に遭います。被害者は、銀行のセキュリティアップデートだと信じてアプリをインストールします。偽アプリは、スマートフォンの背面にカードを短時間かざして認証するよう求めます。マルウェアはスマートフォンのNFCチップでカードを読み取り、そのデータをリアルタイムで別の国の攻撃者のスマートフォンに送信します。攻撃者はスマートフォンを手にATMに近づき、被害者のカードが機械にかざされたかのように現金を引き出し、現金を引き出しました。ESETは、短期間に3人の被害者から約6,500ユーロを盗んだ容疑者を逮捕したことを報告しています。
これは広く報道された最初の事例でした。2025年前半までに、ESETのテレメトリによると、NFCリレー攻撃の検出件数は2024年後半と比較して約35倍に増加しました。この手法は現在、実際に使用されています。この手法は最新のEMV非接触型カードに対して有効です。なぜなら、プロトコルが本来の機能を果たしているからです。つまり、カードがタップされ、暗号化された暗号文が新しく、発行銀行は一見正常な取引として認識します。
RFIDブロッキングスリーブは、これらの攻撃を一切防ぎません。被害者は悪意のあるアプリをインストールした後、自らのスマートフォンにカードをかざす必要があります。財布の周囲の無線遮蔽は、攻撃対象領域とは無関係です。
この攻撃から実際に身を守るための対策は、物理的な製品として収益化するのは非常に難しい。フィッシングメールを見破り、リンクからアプリをインストールせず、カードの認証を求める要求には必ず警戒する必要がある。こうした対策は、Amazonで25ドルで売られている財布には到底収まらない。
RFIDブロッキング技術が依然としてその地位を確立している分野
正直に言うと、RFIDブロッキングが無意味だというわけではない。むしろ、決済カードへの対策という点が製品の最も弱い部分だ。多くの財布に入っているRFID対応機器の中で、本当に脆弱なのは銀行カード以外のすべてだ。
簡単な例を挙げると、古いホテルのキーカードは、今でも多くの施設で13.56MHzのHID iClassとMIFARE Classicファミリーを使用しており、どちらも公開調査で脆弱性が発見され、安価なリーダーがあれば誰でも複製できてしまう。建物のアクセスバッジ、特に古い企業システムでは、同じ脆弱性のあるスタックが使われていることが多い。図書館のタグは、読み取り範囲が広い標準規格であるISO 15693に準拠しており、識別子が容易に漏洩してしまう。初期の生体認証パスポートの中には、基本的なアクセス制御が脆弱で、データページの内容をスキミングできてしまうものもあった。ポイントカード、ジムのキーフォブ、プリペイド式の交通系ICカードなどは、一般的に複製や転送が容易である。
銀行カードと一緒にそのようなカードを複数枚持ち歩く場合、基本的なブロッキングスリーブには明確な役割があります。しかし、非接触型Visaカードにはそのような役割はありません。
ウォレットマーケティングが避けているのは、この非対称性だ。2つの異なる問題が同じ製品セールストークにまとめられ、説明しやすい方の問題は、10年前にはほとんど存在しなくなった問題なのだ。
実践的な考え方としては、財布の中身をリストアップしてみましょう。それぞれのアイテムについて、どの無線規格を使用しているか、そしてその規格に暗号化チャレンジが重ねられているかどうかを考えてみてください。EMVチップの導入が完了した銀行カードには、暗号化チャレンジが重ねられています。しかし、ほとんどの建物の入館証、ホテルの鍵、図書館のタグには、暗号化チャレンジは重ねられていません。スリーブは、暗号化レイヤーを持たないものを保護するものであり、既に暗号化レイヤーを持つものを強化するものではありません。これが、マーケティング的な要素を抜きにしたRFIDブロッキングの全貌です。
