Ghost Tap：NFCタッチ決済を悪用して資金盗み取る新たなテクニックが登場

佐々山 Tacos

2025.11.05

Ghost Tap：NFCタッチ決済を悪用して資金盗み取る新たなテクニックが登場

Securityonline[.]info – November 20, 2024

NFCトラフィックのリレーによりモバイルウォレットに紐づいたクレジットカードからキャッシュアウトを行う新戦術「Ghost Tap」が、脅威アクターたちの間で使われるようになっているという。オランダのサイバーセキュリティ企業ThreatFabricが報告した。

Ghost Tapの概要

Ghost Tapは、Apple PayやGoogle Payなどのモバイル決済サービスに紐づけられた盗難クレジットカードデータから、遠隔かつ匿名でキャッシュアウトを行うために編み出された戦術。不正検知システムから逃れるために、NFC（近距離無線通信）のシグナルをリレーする点や、世界各地のマネーミュール（「お金の運び屋」の意）を通じてNFC決済を実施する点が注目に値する。

＜攻撃の流れ＞

①クレジットカード情報の窃取と、ワンタイムパスワード（OTP）の傍受

ターゲットにバンキング型マルウェアをダウンロードさせ、これを使ってクレジットカード情報を盗み出す。
カード情報の窃取には、フィッシングやキーロガーが利用される場合も。
このマルウェアは、SMSやプッシュ通知で送られるOTPも窃取できる。

②盗んだカードをウォレットへ登録

攻撃者は傍受したOTPを使って、手持ちの携帯端末で盗んだカードをApple PayやGoogle Payなどに登録する。

③タッチ決済のための情報をミュールの持つ端末へリレー

リレーに使われるのは、正規のリサーチツール「NFCGate」。このツールには、NFCトラフィックの取得、分析、編集機能があり、サーバーを経由させることにより2つのデバイス間でのNFCトラフィックの受け渡しも行うことができる。
ミュールが自身の端末を使い、リレーされたトラフィックを利用して実店舗のPOS端末でタッチ決済を実行。
ミュールの持つ端末はPOS端末からの支払いリクエストを受け取ると、このリクエストを記録してリレーサーバーへ渡す。
リレーサーバーはさらにこのリクエストを、攻撃者の持つ「NFCリーダー（Reader）」端末へ転送。なお、この端末は②で使われる端末とは別。
攻撃者は②の端末を使い、支払い要求に応じる。このレスポンスは再度リーダー端末→リレーサーバー→ミュールの端末という流れで転送され、最終的にPOS端末へ渡され、これにより決済が完了する。

過去に報告された「NGate」攻撃がベースに

Ghost Tap戦術は、今年8月にESETが報告したキャンペーン「NGate」をベースに設計されているという。NGateもGhost Tapと同様に、NFCGateを利用してターゲットのAndroid端末から攻撃者の持つ端末へNFCデータを送るもの。もう少し具体的には、まずターゲットに対し、「あなたの口座がセキュリティインシデントの被害に遭いました」などと伝える内容の偽のSMSメッセージや自動通話を送信。この中で手持ちのカードの状態を確認する必要があると伝え、あるモバイルアプリをダウンロードするよう指示する。このアプリによりNFCGateがダウンロードされ、NFCデータが攻撃者の端末へ送られる。