Googleウォレットの本人確認が必要になったが、Androidにはおサイフケータイという穴がある

Androidスマートフォンに内蔵されているGoogleウォレットは2024年3月末のアップデートで、ウォレットによる支払いでは本人確認が必要になりました。これで結構混乱している人や、めちゃ不便じゃーん！というセキュリティ無視の声もちらほら聞こえます。しかしAndroidにはおサイフケータイという大穴が残っています。

Googleウォレットのセキュリティ改善Before/After

Before（〜2024/3）

画面を明るくしておけば、ロック解除していなくてもメインカード（デフォルトカード）で支払うことができました。

指紋認証の精度の悪い機種ではありがたい仕様だったと思います。

タッチ決済で支払い可能な金額は店舗により違う可能性がありますが、基本的には税込10,000円が上限でした。すなわち本体価格9,800円の商品はVISAタッチ決済やMastercardタッチ決済では支払えませんでした。

After（2024/4〜）

画面を明るくしておくだけだと決済できず、店舗のリーダーにタッチした時点で認証を行わないと支払いができません。

画面を明るくしてPIN・パターン・指紋によりロック解除しておけば支払うことができます。

CDCVMとよばれる仕組みにより、このように認証（PIN・パターン・指紋のいずれか）を通過した支払いは上限10,000円を超えての支払いが可能ですが、店舗のレジのシステムなどの問題やその他諸々の事情で認証しようがしまいが上限10,000円という場合もあるようです。

iPhoneのApple Walletと違って、カードを選んでタッチの前に認証ではなくGoogleウォレット全体にかかっています。したがってGoogleウォレット起動後に認証すれば一定の短時間内はどのカードでもタッチ決済可能です。

おサイフケータイはセキュリティの大穴

Googleウォレットで支払いに際し認証が必要になっても、それはVISAタッチ決済やMastercardタッチ決済だけの話でありまして、Felicaを使うiDやQUICPayは従来通りです。

さらにiDやQUICPayでは認証なしで10,000円を超える金額が決済できます。その上限額はお店のよってことなっていると公式サイトには書かれています。

QUICPayでは上限は20,000円となっていると公式サイトにあります。

どちらも認証なしで十万円とかタッチ決済されるわけではないですが、せっかくGoogleウォレットが認証必須としても、iDやQUICPayが認証なしでは事実上意味がありません。

有効なセキュリティ対策はNFCロック

指紋認証が高精度・高速な機種であれば「NFC/おサイフケータイ ロック」をONにするのが一番安全度が高いでしょう。

これによりモバイルSuicaを含め、タッチ決済やiD、QUICPayの類は画面ロックを解除しないと使えなくなります。Google Payは今回の変更で絶対に認証が必要になったので問題ありません。

画面が暗いままで使えたiDやQUICPayの穴は、やはり画面ロック解除しないと使えないのでGoogle Payと同様のレベルになります。

ただしモバイルSuicaにも適用されますので、モバイルSuicaで買い物や改札を通る前にロック解除しなければならないという難点があります。

設定はおサイフケータイアプリを起動して、右上の鍵アイコン（通常は開いている）をタップすると、「NFC/おサイフケータイ設定」画面が開きます。

ここで、「NFC/おサイフケータイ ロック」をONにすると、おサイフケータイアプリ画面の右上の鍵アイコンが閉じてロック中であることを示します。

ただSuicaもロックされると不便というのは事実ですよね。

現実的な解決としては、やはりおサイフケータイで支払い時認証を入れるか入れないかという設定が欲しいところです。