Ghost-Tapping 攻撃:Apple Pay/Google Pay ユーザーから決済カード情報を盗み出す

New Ghost-Tapping Attacks Target Apple Pay and Google Pay Users’ Linked Cards

2025/08/18 gbhackers — NFC (Near Field Communication) リレーを Ghost-Tapping 技術で悪用する中国語圏のサイバー犯罪者たちは、決済カード詐欺を巧妙に進化させている。彼らの主要な標的は、Apple Pay や Google Pay などのモバイル決済サービスに集中している。この攻撃ベクターは、侵害したデバイスから盗み出した決済カードの認証情報を、使い捨て携帯電話に中継して、不正な非接触型の取引を仕掛け、小売詐欺を働くというものである。

Insikt Group によると、Telegram 上の “@webu8” などの脅威アクターたちは、フィッシングやマルウェアを介して OTP (One-Time Password) などのセキュリティ対策を回避し、被害者のカードをデジタル・ウォレットへと自動的にプロビジョニングしているという。

これらの活動は、中国やカンボジアなどの東南アジアを拠点とすることが多く、プリインストールされた使い捨て携帯電話と、独自のリレー・ソフトウェアを、犯罪組織に対して提供することで、世界的なキャンペーンを促進している。

NFC リレー詐欺エコシステム

この手法は、NFCGate などのオープンソース・ツールを利用し、NFC トラフィックをキャプチャ/モディファイし、POS 端末や ATM でトークン化されたカードデータの、リアルタイムでのエミュレートを可能にする。

これにより深刻な経済的損失が発生し、シンガポールでは 2024年10月から12月の間に 656 件以上の不正取引が報告され、その総額は少なくとも $1.2 million SGD に達するという。これらの不正取引は、主として Apple Pay にリンクされたカードが関係している。

2020年以降において、詐欺行為のために確立された犯罪ネットワークは、Telegram 上の Huione Guarantee/Xinbi Guarantee/Tudou Guarantee などのマーケット・プレイスを通じて専門のミュールを募集し、Ghost-Tapping をマネー・ロンダリングのパイプラインに組み込んでいる。

Apple Pay
Overview of ghost-tapping campaign

Huione Guarantee は 2025年5月にサービスを停止すると発表したが、分散型の Telegram インフラは存続しており、USDT のエスクローベースの取引を代替手段に転換している。

このサイバー犯罪者たちの手口は、フィッシング・キャンペーンで盗み出された認証情報を入手し、OTP や銀行のログイン情報を傍受して、iOS/Android デバイスに読み込むというものだ。

SuperCard X MaaS (malware-as-a-service) プラットフォームに類似した独自ソフトウェアは、Answer To Reset (ATR) メッセージを含む NFC 信号を中継することで、正規のカードを模倣し、物理的な接触を必要とすることなく端末を欺く。

シンガポール/マレーシア/タイ/フィリピンなどの地域では、観光客を装うミュールが、宝石/金/電子機器などの高額商品の対面購入を実行している。

Apple Pay
Threat actor 莫淮 (@eyDLBhqqotRXfJ) offering to buy gold

これらの商品は、その後に国境を越えて輸送され、eBay/Carousell などの e コマース・サイトで転売され、不正な利益が正当な法定通貨に変換される。

サイバー・セキュリティへの世界的な影響

Ghost-Tapping のエコシステムには、明確な役割と分担がある。サイバー犯罪者たちは認証情報の窃取と中継ツールの開発を担当し、シンジケートは Ghost-Tapping/輸送/転売に加えて、マネーロンダリングを行うミュール (運び屋) の採用を管理している。

調査の結果として明らかになったのは、使い捨て携帯電話 (1枚あたり約 90 USDT、リンクされたカードごとに追加料金) が大量に販売され、認証情報を再ロードするためのリサイクル・サービスが付いているケースが多いという、ビジネス・モデルの存在である。

Recorded Future のレポートによると、自動化スクリプトは定期的にカードの追加を試み、ログイン情報が漏洩した場合には、銀行のモバイル・ウォレットのトグルを悪用する仕組みになっているという。

この詐欺の巧妙な手口は、小売店における KYC (Know-Your-Customer) の不備と、偽 ID の使用に起因しており、金融機関にとって検知が困難となっている。

これらの脅威に対抗するために、銀行にとって必要なことは、デバイス・リスク分析の実施/急激な地理的移動などの異常な取引パターンの検知/SMS 経由の OTP からアプリベースの認証への移行となる。

その一方で、消費者にとって必要なことは、通知の監視/OTP の共有の回避/銀行へ問い合わせにおける公式チャネルの利用などがある。フィッシング詐欺の基盤を破壊し、NFC 中継ツールを追跡するには、法執行機関と決済ネットワークの連携が不可欠である。

Ghost-Tapping が世界的に拡大し、小売/銀行/保険などの業界に影響を及ぼす状況において、このサイバーとフィジカルを融合させた詐欺を阻止するための、積極的な対策が不可欠となっている。Recorded Future は、カスタマイズされた MaaS サービスを通じて、中国以外の組織の間で、この詐欺が蔓延する可能性があると予測している。

Ghost-Tapping による NFC リレー詐欺の根本的な原因は、モバイル決済の仕組みと小売店側の認証体制の隙にあるようです。フィッシングやマルウェアでカード情報や OTP を盗み出した攻撃者は、それを使い捨て携帯やリレー・ソフトで中継して、不正決済を成立させています。また、NFCGate などのツールで通信を改ざんできることや、店舗側の KYC の不備や偽 ID の利用が加わり、検知を難しくしているのも問題だと、この記事は指摘しています。よろしければ、カテゴリ Retail と、カテゴリ Finance も、ご参照ください。