Ghost Tapped、Androidスマートフォンを不正決済リレーに変える

サイバー犯罪者は、被害者のAndroidスマートフォンを本人の知らないうちに決済リレーとして利用することで、銀行口座から資金を引き出す新たな手口を見つけました。

新たに文書化された攻撃手法「Ghost Tapped」は、NFCを悪用して、被害者の銀行カードに物理的にアクセスすることなく遠隔で金融詐欺を可能にします。

「2024年11月～2025年8月にかけて、あるPOSベンダー1社だけでも少なくとも35万5,000ドルの不正取引が記録されている」と、Group-IBの研究者は述べています。

Ghost TappedによるNFC詐欺スキームの内側

Ghost Tappedは、店舗やATMでのタッチ決済に使われるのと同じ技術である近距離無線通信（NFC）を悪用してAndroid端末を標的にします。

この攻撃は正規の決済ワークフローを利用するため、不正取引が銀行や決済処理事業者から通常の取引に見えてしまい、検知がより困難になります。

攻撃は通常、被害者に正規の銀行アプリや決済アプリを装った悪意あるAPKファイルをインストールさせる、欺瞞的なSMSや電話などのソーシャルエンジニアリングから始まります。

インストール後、アプリは「確認」や「セキュリティ登録に必要」などと称して、物理的な銀行カードをスマートフォンにタップするようユーザーに促します。

しかし実際には、悪意あるアプリケーションがカードのNFC決済データを取得し、攻撃者が管理するコマンド＆コントロール（C2）サーバーへ送信します。

Ghost Tappedは2コンポーネント構成で動作します。被害者端末上で決済データを収集して暗号化するreaderアプリと、犯罪者が使用するtapperアプリです。

被害者がカードをタップすると、readerアプリは暗号化されたデータをインターネット接続されたサーバー経由で、ほぼリアルタイムにtapperアプリへ中継します。

その後tapperアプリは、正規の決済処理事業者から盗難された、または不正に入手された実在のPOS端末やATMへ決済データを送信します。

端末側からは取引が完全に正当なものに見えます。攻撃者の端末自体が被害者の物理的な銀行カードであるかのように見えるため、即座に疑いを招くことなく不正決済が進行します。

Group-IBは、2024年8月から2025年8月の間に流通したGhost Tappedマルウェアの亜種を54種類以上特定しており、複数のバージョンがTelegramのマーケットプレイスで積極的に販売・宣伝されていました。

悪意あるアプリはandroid.permission.NFCやandroid.permission.INTERNETといったAndroid権限を要求し、NFCハードウェアとの連携や外部通信を可能にします。

インストール後、マルウェアは端末識別子や認証データを収集し、WebSocketまたはMQTTプロトコルを用いて攻撃者インフラへの永続的な接続を維持します。

2024年11月から2025年8月にかけて、Ghost Tappedに関連するある脅威グループは少なくとも35万5,000ドルの不正取引を処理しており、世界中で数千人の被害者が報告されています。

法執行機関はすでに、米国、シンガポール、チェコ共和国、マレーシアなど複数国でGhost Tapped活動に関連する逮捕を行っており、作戦の規模と国際的な広がりの双方が浮き彫りになっています。

組織は、技術的対策をユーザー啓発と運用面の備えと組み合わせることで、NFCベースの詐欺リスクを低減できます。

これらの手順は、Ghost Tappedのような攻撃に対するレジリエンスを高め、被害範囲（ブラス卜半径）を縮小するのに役立ちます。

Ghost Tappedは、デジタルシステムと現実世界の金融インフラを橋渡しする攻撃へと、サイバー犯罪がより広範にシフトしていることを示しています。

攻撃者は従来のソフトウェア脆弱性だけに依存するのではなく、スマートフォンやタッチ決済の仕組みといった、信頼され日常的に使われる技術を悪用しています。

この手法により、不正行為が正規取引に紛れ込みやすくなり、組織と金融機関の双方にとって検知と防止がより難しくなります。

これに対応して、組織は暗黙の信頼を減らし、高リスクな決済環境とモバイル環境を保護するためにゼロトラスト・ソリューションを採用しています。