はじめに
2026年1月7日、セキュリティ研究機関Group-IBは、中国の脅威アクターがNFC対応のAndroidマルウェアを用いた大規模なサイバーキャンペーンを展開していることを明らかにしました。このマルウェアは、Telegramを通じて拡散され、非接触型決済カードのデータを傍受し、遠隔で中継する能力を持つとされています。
「Ghost Tap」攻撃のメカニズム
「Ghost Tap」と名付けられたこのマルウェアは、TX-NFCおよびNFU Payなどの脅威グループに関連付けられています。攻撃者は、ソーシャルエンジニアリングの手法を用いてユーザーを騙し、悪意のあるAPKファイルをインストールさせます。一度インストールされると、マルウェアは被害者のNFC対応デバイスと攻撃者が制御するC2(コマンド&コントロール)サーバー間でリレーメカニズムを確立します。
この攻撃は、二段階のリレーアーキテクチャを利用しています。被害者のスマートフォンがカード読み取りデバイスとして機能し、近くの決済カードをスキャンします。そのデータはC2インフラを経由して、攻撃者が制御する別のデバイスへと中継されます。このデバイスがPOS端末やATMと通信することで、物理的な近接性を必要とせずに不正な取引や現金引き出しを可能にします。
マルウェアの配布とビジネスモデル
Group-IBの調査によると、このマルウェアは主にTelegramチャンネルを通じて配布されており、購読ベースのアクセスモデルによって収益を上げています。主要ベンダーであるTX-NFCは、1日あたり45ドルから3ヶ月間で1,050ドルまでの多様なサブスクリプションプランを提供しています。
このビジネスモデルは、NFCリレー機能をより広範なサイバー犯罪エコシステムに提供する、高度に組織化された犯罪サービスプロバイダーの存在を示唆しています。マルウェアのバリアントはカスタマイズ可能なパラメーターを備え、買い手は特定の運用要件に基づいて攻撃を設定できます。また、24時間体制のTelegramベースの顧客サポートも提供されており、正規のソフトウェアベンダーに匹敵する専門性がうかがえます。
技術分析からは、検出回避のために暗号化、C2の難読化、およびアンチ分析メカニズムが実装されていることが判明しています。
標的地域と推奨される対策
テレメトリーデータによると、このマルウェアは欧州、アジア、その他の地域で検出されており、特に以下の国々が主な標的とされています。
- ブラジル
- イタリア
- マレーシア
- トルコ
- ウズベキスタン
- ギリシャ
- インドネシア
これらの地域は、非接触型決済の普及率が高い一方で、モバイルセキュリティに対する意識が比較的低いという特徴があります。この作戦は、モバイルマルウェアの能力と決済詐欺インフラの危険な融合を示しています。従来のカードスキミングや認証情報窃盗とは異なり、NFCリレー技術は物理的なセキュリティ要件、二要素認証、およびリアルタイムの取引監視システムを迂回することを可能にします。
金融機関や決済処理業者は、モバイルエンドポイントセキュリティの優先順位付け、異常なNFCリレーパターンに対する取引監視の強化、そして信頼できない情報源からの金融アプリのインストールに対する注意喚起を促す一般向けキャンペーンを実施することが急務です。