💳

クレカのタッチ決済ってPINレスだから危なくない?と思ったらそんなことはなかった

に公開
Security
NFC
payment
emv
creditcard
tech

普段ほぼタッチ決済で済ませているのですが、ある日こう思いました。

タッチ決済で一度もPINを求められた記憶がない。一方、IC接触決済だと普通にPIN要求される。これはタッチ決済の方が本人確認が緩い、紛失したら危ない、ということでは?

モヤッとしたまま放置していたのを、最近改めて調べてみたら、前提にしていた認識がだいぶズレていました。タッチ決済にもPIN要求が発生する閾値はあります。IC接触決済のPIN要求の常識も、2025年4月で大きく変わったばかりでした。

調べていった順番に、EMVという決済規格の話と絡めて整理しておきます。

認証の中核はタッチもICも同じ

いまの主要なクレジットカード決済は、接触か非接触かを問わず EMV仕様[1] に準拠しています。EMV は Europay / Mastercard / Visa の頭文字で、現在は国際ブランド共同管理団体の EMVCo が仕様策定を担っています。

EMVの中核は、決済ごとに動的な暗号文(ARQC, Authorization Request Cryptogram) を生成して認証する仕組みです。磁気ストライプ時代のように「カード番号と有効期限さえ読めれば複製できる」という構造ではなく、カード内のセキュアエレメントが取引データと一緒に署名を作って、発行会社(イシュア)が検証します。

タッチもICも、この認証コアは共通。違いは通信路がNFCか物理接点かというところだけ。「タッチ決済は仕組みが甘い」みたいな話ではありません。

本人確認のルール、いわゆる CVM (Cardholder Verification Method) の方が議論すべきレイヤでした。

CVMロジックと、その閾値

CVMはEMVが定義する「本人確認方法」の選択肢の集合です。代表的なのは Online PIN、Offline PIN、Signature、CDCVM(スマホ等のデバイス側で済ませる方式)、そして No CVM Required(本人確認なし)。

どれが選ばれるかは、その場で動的に決まります。カードが持つ CVM List(優先順位リスト)、端末の能力、取引金額、この3者の組み合わせで選ばれるという仕様です[2]

ここで効いてくる閾値が CVM Required Limit(通称 CVM Limit)です。「この金額を超えたら何らかのCVMを必須にする」という境界線。タッチ決済が「かざすだけで通る」のは、取引金額がCVM Limit以下で No CVM Required が選ばれている、というだけの話でした。タッチ決済固有の手抜きではなく、EMV共通のCVMロジックに従っている結果です。

日本のタッチ決済は15,000円が上限

日本の主要ブランド(Visa / Mastercard / JCB)のタッチ決済におけるCVM Limitは、いま 1回15,000円 が標準です。以前は10,000円でしたが、2022年10月にAmerican Expressが先行して引き上げ、各ブランドが追随する形で15,000円に落ち着いています[3]

ただ、この値は加盟店側の設定や端末実装で挙動が変わります。たとえば[4]

  • セブン-イレブンでは10,001円を超えるとタッチ自体が無効化され、IC接触または磁気にフォールバックする
  • ファミマの有人レジでは上限超過時にPIN入力が強制される
  • ファミマのセルフレジでは上限超過の支払いが拒否される

「タッチ決済はPINが要らない」のではなく「15,000円までならPINが要らない」が正確な表現でした。しかも上限を超えたときの挙動は、ブランドの公称値・加盟店の独自設定・端末の実装の3層で決まっていて、ユーザー側からは事前に判別しにくい状態。

IC接触決済が今は厳しい、2025年4月の制度変更

自分のもう一方の体感「ICではPIN要求される」の側も確認します。

これ、2025年3月までは必ずしも正しくありませんでした

日本では長年、IC接触決済に「PINバイパス」と呼ばれる運用が許容されていました。加盟店判断でPIN入力をキャンセルしてサインに切り替える仕組みです。さらに加盟店契約で「サインレス上限」が設定されているケースが多く(コンビニ等で1万円程度)、その上限以下ならサインすら省略されました。

このPINバイパス運用が、2025年3月をもって廃止されています。2025年4月以降、ICチップ付きクレジットカードの店舗利用では暗証番号入力が原則必須になりました[5]

ここでひとつ大事なのは、この変更がタッチ決済には適用されないところ。タッチ決済の少額CVMスキップは現状維持で、引き締められたのはあくまでIC接触決済の運用ルール。

時系列に並べると、2025年3月までは IC接触決済もサインで通っていて、タッチとの体感差は小さかったはず。それが2025年4月以降、IC接触は原則PIN必須、タッチは15,000円までPIN不要、という非対称な状態に切り替わりました。

「ICだとPIN求められる」という自分の体感は、ここ最近で強化された感覚だった、というのが調べてみての気付き。タッチ決済のCVM Limit自体は昔から大きく変わっていないので、ユーザー視点の体感差が広がったのはこの数ヶ月の話でした。

なお「ICでも少額のときはPIN要らなかった」という古い体験は、2系統が混ざっていました。

  1. No CVM Required が正規に選ばれていた(EMV仕様準拠ルート)
  2. PINバイパス+サインレス加盟店契約で実質スキップされていた(日本独自ルート)

2025年4月で廃止されたのは2の方で、1は今も健在です。少額タッチでPIN要らないのは、IC側で長年見ていた1と本質的に同じ現象だった、ということになります。

CVM Limit以下なら本当に安全か、という話

ここでようやく最初の問い、「タッチ決済の方が脆弱では?」に戻ります。

CVMという一断面だけ見れば、タッチ決済の方がPIN要求の閾値は緩い。自分の最初の直感は、ここに関しては正しい。問題はそれを「だから脆弱だ」と結論づけていいかどうか、です。

学術界での攻撃研究を覗いてみると、関連する話がいくつか出てきます。

スイス連邦工科大学(ETH Zurich)の Basin らが2020年に発表したのが、Visaのタッチ決済プロトコルへの攻撃です[6]CTQ (Card Transaction Qualifiers)CVR (Card Verification Results) といったフィールドを中間者改ざんして、「CVMはデバイス側で実施済み」と端末に誤認させPIN要求をバイパスする、というもの。実店舗で約200ドル相当の決済を実際に成立させて、攻撃の現実性を実証しています。

翌年の2021年には同じグループがMastercard向けの攻撃も発表しました[7]AID (Application Identifier)A0000000031010(Visaの値)に書き換えて端末側のVisaカーネルを起動させ、Visa攻撃を流用してMastercardカードのPINもバイパスする、という手法。Card Brand Mixupという名前がついています。

両方ともブランド側で対策が展開されているのですが、仕様の境界条件を突く攻撃が継続的に見つかっていること自体は事実。タッチ決済のリスクモデルを語るうえで頭の片隅に置いておきたい話です。

物理的に離れた場所のカードと端末の通信を中継する リレー攻撃[8] というのもあります。NFCの「距離が短いから安全」という前提を無効化する手法で、原理上は「カードは家に置いたまま、決済は街中で」が可能になる。機材コストと現場リスクが高いので街頭の組織犯罪としては表面化していないものの、概念としては成立しています。

実害が少ないのは多層防御のおかげ

攻撃可能な話を並べてしまいましたが、実害ベースで考えると、タッチ決済の不正利用が日常茶飯事になっていないのは、CVM以外の防御層が支えているからだと思います。

まず CVM Limit 自体が被害額の上限化として機能します。1回15,000円という制限は、不正利用された場合の1回あたり被害を頭打ちにする効果がある。

次にイシュア側の不正検知。短時間で複数店舗、地理的に不自然な遷移、普段使わない業種、こういった異常パターンをリアルタイムで検知してブロックされる仕組みが入っています。

そして利用通知。カードアプリの即時プッシュをオンにしておけば、紛失に気付くまでの時間が大きく圧縮できます。これが体感的には一番効きます。

最後の防壁が補償。不正利用は届け出から原則60日以内であれば、ほぼ全額が補償対象になります。

最初の不安「タッチ決済は紛失したら危ない」をこれらに照らすと、「紛失直後に複数回タッチで使われる可能性はあるが、被害は1回15,000円が上限、不正検知が動けば数件で止まり、補償でほぼ全額戻る」というリスクモデルに置き換わります。漠然と感じていた「PIN不要=危ない」とは、別物の輪郭です。

調べ終えて

「タッチ決済はIC接触決済より脆弱なのか?」というのが最初の問いでした。

調べてみての答えは、「CVMという一断面だけ見ればYesに見えるが、それを脆弱性と呼ぶには多層防御を無視しすぎ」というところに落ち着きました。

要点を並べておくと、

  • EMVの認証コアはタッチもIC接触も共通、磁気時代のような複製リスクはない
  • 「タッチ決済はPIN不要」は正確には「15,000円までPIN不要」
  • 2025年4月のIC接触決済PIN必須化で、両者のCVM要求条件の差は以前より広がった
  • 学術的な攻撃は存在するが対策が打たれていて、実害は不正検知と補償で抑えられている

紛失時のリスクを実質的に下げたいなら、カードアプリの利用通知を即時プッシュにしておくのが一番効きます。CVM Limit の値より、検知速度の方が実害に直結する変数なので。

「タッチ決済はPIN不要だから危ない」と漠然と思っていたのが、CVMという概念とその閾値ロジック、そして実害を抑える多層防御の構造を知って、リスクの解像度がだいぶ上がりました。

脚注

  1. EMVCo 公式サイト ↩︎

  2. Contactless Limits and EMV Transaction Processing (U.S. Payments Forum, 2020) ↩︎

  3. 「いくらまでタッチだけで決済できるの?」~タッチ決済の上限額と本人確認について~(現金いらず) ↩︎

  4. クレカのタッチ決済、上限金額の謎【鈴木淳也のPay Attention】(Impress Watch) ↩︎

  5. 2025年4月クレジットカードの暗証番号入力が必須化!サイン決済廃止の前に店舗や利用者が行うべきことは?(不正検知Lab) ↩︎

  6. The EMV Standard: Break, Fix, Verify (Basin, Sasse, Toro-Pozo, IEEE S&P 2021) ↩︎

  7. Card Brand Mixup Attack: Bypassing the PIN in non-Visa Cards by Using Them for Visa Transactions (USENIX Security 2021) ↩︎

  8. Relay Cost Bounding for Contactless EMV Payments (Chothia et al., 2015) ↩︎

GitHubで編集を提案

Discussion