はじめに
フィリピンにおける非接触決済とデジタルウォレットの急速な成長は、金融包摂と経済効率化に向けた新たな機会を生み出しました。しかし、この変化は、近距離無線通信(NFC)技術を悪用して大規模な詐欺を行うサイバー犯罪者の注目も集めています。
フィリピンは、中国系サイバー犯罪者の影響を最も受けている地域の一つとなっています。中国系サイバー犯罪者が運営する主要なアンダーグラウンドショップでは、侵害されたクレジットカード(CC)の量に基づき、フィリピンが最も影響を受けている地域の一つとして挙げられています。
TransUnion Philippines は報告しているところによると、疑わしいデジタル詐欺が大幅に増加しており、フィリピンの発生率は世界平均を上回っています。 フィリピンの疑わしいデジタル詐欺率は2024年に13.4%となり、世界の5.4%を148%上回りました。 フィリピン人の10人中7人超(74%)が、最近、メール、オンライン、電話、またはSMSによる詐欺の標的になったと報告しています。 最近詐欺で金銭的損失を被ったと答えたフィリピン人のうち、報告された平均損失額は44,700フィリピンペソ(PHP)を超えました。 企業への被害ははるかに深刻で推定が難しく、 損失は数百万PHPに達する可能性があります。
Resecurity®は、サイバー犯罪活動の増加が、中国によるフィリピンおよびインド太平洋地域を標的とした悪意ある取り組みに比例していると推定しています。したがって、政府および金融機関は、外国の敵対勢力から金融システムを守るため、防御を加速させるべきです。当社の評価によれば、2025年第2四半期時点で、フィリピンを標的とする中国発のダークウェブ活動は約230%増加し、前年と比べて倍増しました。これらの統計は、Resecurityのグローバル・インテリジェンス・ネットワークが中国語話者のアクターから収集した、サイバー犯罪コミュニティ内の関連コミュニケーション量に基づき確認されています。
中国のサイバー犯罪の規模は巨大で、現時点で少なくとも数千の独立したアクターおよびグループが、詐欺やその他の悪意ある活動に関与しています。 例えば、当社HUNTERチーム(脅威インテリジェンスおよび調査)が分析した主要な中国語圏アンダーグラウンド・コミュニティの参加者数は、5,000から2万人超まで幅がありました。 中国発で他国を標的とするサイバー犯罪は国家に黙認されていることが知られているため、世界の金融システムに対する重大な脅威となっており、民間・公的セクター双方からの大きな注意が必要です。
サイバー脅威インテリジェンスの世界的リーダーであるResecurity®は、盗まれたカードデータを用いて正規の非接触取引を模擬できる専用ツールの利用増加を確認しています。これらの活動は、以前は他地域に集中していましたが、現在は東南アジアにも影響が及んでおり、フィリピン市場への関心が高まっていることを示す指標が見られます。
フィリピン以外で中国系サイバー犯罪者が標的とする上位地域には、オーストラリア、台湾、マレーシア、ニュージーランド、シンガポール、タイ、香港、韓国、インドネシアも含まれます。
Resecurity はまた、NFC対応詐欺に関与する中国系サイバー犯罪者が、欧州連合(EU)諸国、米国、英国、カナダ、メキシコも積極的に標的としていることを確認しました。
当社アナリストは、サイバー犯罪者がこれらの地域から侵害カードを入手できるようにし、さらに中国系サイバー犯罪者が設置した不正加盟店を介して行われる少額課金(マイクロチャージ)により、それらが有効かどうかを確認する多数のグループを特定しました。
これらのグループの多くは、侵害された決済データの販売を自動化するためのTelegramボットも保有しています。 場合によっては、そのようなボットは容易に特定できず、主に中国語話者のアクターによる限られた仲間内で情報が共有されるため、検知と迅速な対応がさらに難しくなる可能性があります。Resecurityは、アプリの利用規約が存在するにもかかわらず、フラグ付けやブロックが行われないまま長期間稼働している、中国系サイバー犯罪者が管理するアクティブなTelegramボットを数十件特定しました。これは、効果的なコンテンツモデレーション、詐欺防止、コンプライアンス方針に課題があることを示している可能性があります。中国系サイバー犯罪者はこれらの点を悪用し、サイバー犯罪関連のコミュニケーションをTelegramへ移しています。Telegramは、中国国内に物理的に居住しながらOPSEC(作戦上の保全)を確保するうえで「安全な選択肢」のように見えます。WeChatやQQのような国内IMでサイバー犯罪の話題をやり取りするリスクは取りたくない一方、Telegramであれば比較的安心して行っていると考えられます。これは2025年Q1/Q2に観測された傾向です。以下に、「Lita’s Shop」と呼ばれるアクティブなTelegramボットの例を示します:
Resecurity は、フィリピンを中国系サイバー犯罪者が標的とする主要なトレンド地域の一つとして特定しました。 スミッシング活動とNFC詐欺の観点で、前者は中国系サイバー犯罪者が大量の侵害決済データを傍受し、その後ダークウェブで収益化することを可能にし、後者はそのデータを実際の詐欺やマネーロンダリングに利用することを可能にします。中国が管理するアンダーグラウンドショップおよびTelegramボットの大半は、侵害クレジットカードの量が最も多い主要地域の一つとしてフィリピンを挙げています。
Telegramボットは自動化されており、国別・銀行別に整理された盗難クレジットカード情報の各種データベースを対話的にナビゲートできます。 特に、中国系サイバー犯罪者が管理する一部のボットは、膨大な量の侵害決済データを保有しており、数百万ドル規模の損失につながる可能性があります。
特に、これらのボットの一部は、スミッシングに関与する組織化されたシンジケートによって運用されており、侵害クレジットカード(CC)の主要な供給源となっています。 2025年3月22日、Resecurityは、「Panda Shop」として知られる新しいスミッシングキットを特定しました。これはSmishing Triadが用いたものと同じ原理に基づいています。なお、ジャイアントパンダは中国を象徴する著名でアイコニックなシンボルです。国内外で国の象徴として認識され、平和、友好、ソフトパワーを表します。しかしこのケースでは、消費者にとって金銭的損失以外に良いものをもたらしているようには見えません。「Panda Shop」には複数のTelegramチャンネルと、サービス提供を自動化する対話型ボットがあります。
Resecurityはまた、Smishing Triadのような、スミッシングおよびNFC対応カーディングに関与するグループと密接に関連する中国系サイバー犯罪者が運営する、新たなアンダーグラウンドのクレジットカードショップを複数特定しました。 Resecurityは、世界中の消費者を標的とする中国系サイバー犯罪者グループであるSmishing Triadを最初に特定した企業です。2023年8月、当社チームは彼らの活動を特定し、使用していたスミッシングキットを突き止め、脆弱性の悪用に成功して脅威アクターとそのインフラを露出させました。それ以降、このグループはよりステルス化し、ツール、戦術、手順(TTP)を高度化しています。この規模のグループは単一の脅威アクターに限定されず、異なる役割を持つ多数の協力者が存在し、公的なプロファイルを曖昧にしています。こうしたグループは「Crime-as-a-Service」モデルを活用し、他のサイバー犯罪者が彼らのスミッシングキットを利用して、異なる国の消費者を標的とする作戦を拡大できるようにしています。例えば、中国系サイバー犯罪者が運営する「Hulk Vault」ショップは、Telegram、サーフェスウェブ、TORネットワーク(ダークウェブ)に存在しています。
フィリピンは、中国系サイバー犯罪者が侵害クレジットカードを提供する上位10か国の一つとして挙げられていました。 観測された中国系サイバー犯罪者運営のアンダーグラウンドショップの中には、販売用の侵害クレジットカードを大量に保有するものがあり、 そのうちの一つでは7,741枚超のカードが利用可能でした。
他のサイバー犯罪者が侵害クレジットカードを入手するための比較的安価な選択肢( カード1枚あたり数セントから数ドルまで)を考慮すると、 このような活動は地域経済と消費者に重大な損害を与える可能性があります。
侵害クレジットカードの入手と有効性確認のためにアクターが頻繁に利用する別のアンダーグラウンドコミュニティでは、本日現在で5,869件超のアイテムが利用可能でした。
総じて、私たちが話しているのは、中国の悪意ある活動の被害者となった数千人の銀行顧客です。
主要決済システムへの標的化
フィリピンのローカル決済システムは、中国系サイバー犯罪者にとって主要な標的です。まず第一に、これらのシステムは大多数の消費者の取引を可能にしているため、詐欺やマネーロンダリングの魅力的な経路となっています。ダークウェブ上のコミュニケーション分析に基づくと、GCash、Maya Philippines(旧PayMaya)、GoTyme、BDO(Banco De Oro)Mobile Payが、サイバー犯罪者に最も積極的に狙われているシステムです。
特に、GCashとMayaはいずれもNFCをサポートしています。加盟店向けにNFC対応の決済端末を提供し、カードにもタップ決済機能のためにNFCを統合しています。その他のシステムはまだNFCをサポートしていませんが、非接触決済の代替としてQR決済を提供しています。
これらのシステムを標的とする前兆は、以前から地元業界の専門家によって指摘されていましたが、詐欺の試みは止まらず、NFCのような新技術の急速なデジタル化と導入に伴って増加する一方でした。
中国系サイバー犯罪者が、詐欺を容易にするためにフィリピンの地元組織犯罪と提携するという興味深いパターンが特定されました。さらなる詐欺やマネーロンダリングのためにアカウントを販売または取得するダークウェブのアクター間の複数の通信も検出されました。
中国系サイバー犯罪者は、マネーミュールを勧誘するためにフィリピンの地元住民との協力を求め、 違法な換金(キャッシュアウト)作戦や盗難資金の再分配のために口座を開設させる任務を与えます。マネーロンダリングの連鎖を構築することは、この協力の重要な側面です。
GCashとMayaに加え、地元のデジタルバンク、ネオバンク、電子ウォレットのアカウントも、中国系サイバー犯罪者にとって需要の高いカテゴリです。
電子ウォレットとNFCの交差点を踏まえ、Resecurityは中国系サイバー犯罪者が近い将来これらの技術に注力すると予測しています。
NFC詐欺の仕組み
NFC技術により、ユーザーはカードまたはモバイル端末を使って非接触決済を行えます。脅威アクターは、スマートフォンを決済カードとして動作させる手法であるホストカードエミュレーション(HCE)を利用して、この技術を悪用し始めています。
Z-NFC、X-NFC、SuperCard X、 Track2NFCといったツールにより、攻撃者は盗まれたカードデータを複製し、NFC対応デバイスを用いて不正取引を実行できます。これらのツールはアンダーグラウンドフォーラムやプライベートメッセージンググループで広く入手可能です。結果として生じる詐欺は、取引が信頼された認証済みデバイスから発生しているように見えるため、検知が困難です。フィリピンのように非接触決済の利用が増加し、少額取引がPIN認証を回避しがちな市場では、この種の攻撃はリアルタイムで追跡・阻止することがより難しくなります。
Resecurityの分析は、東南アジアがNFC詐欺の実験場となっており、地域の銀行や金融サービス提供者を標的とするグループが存在することを示しています。
フィリピンは公のアンダーグラウンド通信で明示的に名指しされているわけではありませんが、複数の指標がリスク増大を示しています:
• GCash、Maya、銀行アプリを含む、モバイルウォレットおよびNFCベースサービスの広範な利用。
• 特に中小企業における非接触POSインフラの拡大。
• 加盟店および端末ディストリビューターに対するオンボーディングとデューデリジェンスの実務が一貫していない。
• フィリピン発行カードデータや、地域で使用するためのツールに言及するダークウェブコミュニティでの話題増加。
これらの要因は、攻撃者がフィリピンの決済エコシステムにおける脆弱性を積極的に探索していることを示唆しています。
資金洗浄に利用されるPOS端末
Resecurityが観測したもう一つの重要なトレンドは、盗まれた決済データで取引を処理するためにNFC対応POS端末が使用されていることです。これらの端末は、偽の事業者名義、または時に本人が気づかないままマネーミュールとして勧誘された個人名義で登録されていることがよくあります。
有効化されると、端末は正規の小売取引を模擬することで資金を引き出すために使用されます。
多くの場合、端末は悪意あるソフトウェアが事前設定され、eSIM接続付きでオンライン販売されています。これにより、特定の場所に依存せずに独立して稼働できます。Resecurityは、このような端末が、加盟店プロファイルや取引上限に応じて、1日あたり25,000~80,000米ドルの不正決済を可能にすると推定しています。
この種のロンダリング・インフラは、正規の資金フローに紛れ込むため、検知がより複雑になり、特に危険です。 このようなPOS端末がレストランチェーンに配備されることは一般的で、来店者はスタッフによる不正を疑わない可能性があります。中国系サイバー犯罪者は不正目的で内部関係者を勧誘し、不正に処理された(盗難)資金からの手数料を彼らと分配しています。例えば、NFC対応POS端末を備えた地元のレストランや小売店に言及する複数の詐欺報告が最近観測されています:
金融機関および規制当局への提言
非接触技術の採用が進むスピードを踏まえると、フィリピンの金融機関、規制当局、サービス提供者が悪用を防ぐために先回りして対策を講じることが不可欠です。
主な提言は以下のとおりです:
• POS端末に関する加盟店オンボーディング手続きを強化し、位置情報(ジオロケーション)検証、業種分類、取引モニタリングに重点を置く。
• 行動分析と異常検知を導入し、特に低額取引の反復など、タップ決済における不審な活動を特定する。
• フィリピン中央銀行(BSP)、Cybercrime Investigation and Coordinating Center(CICC)、金融機関とのインテリジェンス共有を含む官民連携を拡大する。
• 新たな脅威、複製カードデータ、地元機関に関連する加盟店悪用を追跡するため、ダークウェブ監視能力を強化する。
• NFCウォレットのセキュリティ、不正なデバイス・ペアリング、カードデータ保護に関する消費者教育を改善する。
これらの対策は、既存のギャップを埋め、新たに出現する詐欺スキームへの露出を低減するのに役立ちます。
結論
NFC対応詐欺の進化は、フィリピンの金融セクターにとって拡大する課題を示しています。攻撃者が新たなツールと戦術を開発し続ける中、各機関は決済セキュリティに対して、よりインテリジェンス主導のアプローチを採用しなければなりません。
Resecurityは、脅威検知、詐欺防止、デジタルリスク監視のためのツールにより、地域の組織を積極的に支援しています。脅威を早期に特定し、関係者間の連携を改善することで、フィリピンは防御を強化し、デジタル決済インフラへの信頼を維持できます。
