FAQ：「Google Wallet」のセキュリティ--グーグル幹部とセキュリティ専門家に聞く - (page 3)

--Wi-Fiネットワークのように、スニフィングや中間者攻撃の標的になる可能性はあるのか。

　決済が迅速に実行されることと、デバイスとリーダーの距離（4cm以内）が短いことを考えると、Google Walletでこの種の攻撃を実行するのは非常に難しいだろう。

　「NFC無線周波数の範囲が限られているため、通常の中間者攻撃は困難だ。カード認証情報の送信中には、MasterCard PayPassプロトコルによる保護も行われる。このやり取りは、PayPassプロトコルによってコントロールされる。もちろん、われわれはWalletソフトウェアエコシステム全体のセキュリティを常に見直しており、Google Walletのセキュリティ向上に常時積極的に取り組んでいる」（Bedier氏）

--ウェブから、あるいはクレジットカードデータを盗んで決済を乗っ取るための悪意ある添付ファイルから、トロイの木馬などのマルウェアをスマートフォンに誤ってダウンロードしてしまった場合はどうすればいいのか。

　「Secure Elementは、携帯電話のOSがマルウェアによって侵害された場合に、認証情報を保護するように設計されている。Secure ElementのOSとSecure Elementに含まれているデータは、携帯電話のOSから完全に隔離されている。実際のところ、Secure Elementハードウェアは、携帯電話上のほかのストレージメカニズムから独立している。さらに、携帯電話のOSにはSecure Elementからデータを読み取る機能がない」（Bedier氏）

　ただし、デバイスに忍び込むマルウェアをSecure Elementによって防げるということに納得していないセキュリティ専門家もいる。

　電子フロンティア財団（EFF）のテクノロジディレクターで、以前はGoogleのシニアソフトウェアエンジニアとしてAndroidのセキュリティに携わっていたChris Palmer氏は、次のように述べている。「クレジットカード情報がセキュアなチップに保存されるということは、それほど重要ではない。悪意のある人物が携帯電話の乗っ取りに成功すれば、このGoogleアプリをコントロールすることも可能だからだ。アプリが起動されるのを待って、認証情報を奪うことができる」

　NXPの広報担当者によると、Secure Elementをマルウェアによって突破するのは不可能だという。「Secure Elementには認証を受けたアクセス権が必要だ。このアーキテクチャは、Secure Elementがシステムの残りの部分からファイアウォールで隔離されるようにセットアップされている。ePassportのような高セキュリティのソリューション、アプリケーションで使われているものに似ている」。同広報担当は電子メールによる声明でこのように述べた。