Ghost Tap:NFCタッチ決済を悪用して資金盗み取る新たなテクニックが登場
Securityonline[.]info – November 20, 2024
NFCトラフィックのリレーによりモバイルウォレットに紐づいたクレジットカードからキャッシュアウトを行う新戦術「Ghost Tap」が、脅威アクターたちの間で使われるようになっているという。オランダのサイバーセキュリティ企業ThreatFabricが報告した。
Ghost Tapの概要
Ghost Tapは、Apple PayやGoogle Payなどのモバイル決済サービスに紐づけられた盗難クレジットカードデータから、遠隔かつ匿名でキャッシュアウトを行うために編み出された戦術。不正検知システムから逃れるために、NFC(近距離無線通信)のシグナルをリレーする点や、世界各地のマネーミュール(「お金の運び屋」の意)を通じてNFC決済を実施する点が注目に値する。
<攻撃の流れ>
①クレジットカード情報の窃取と、ワンタイムパスワード(OTP)の傍受
- ターゲットにバンキング型マルウェアをダウンロードさせ、これを使ってクレジットカード情報を盗み出す。
- カード情報の窃取には、フィッシングやキーロガーが利用される場合も。
- このマルウェアは、SMSやプッシュ通知で送られるOTPも窃取できる。
②盗んだカードをウォレットへ登録
- 攻撃者は傍受したOTPを使って、手持ちの携帯端末で盗んだカードをApple PayやGoogle Payなどに登録する。
③タッチ決済のための情報をミュールの持つ端末へリレー
- リレーに使われるのは、正規のリサーチツール「NFCGate」。このツールには、NFCトラフィックの取得、分析、編集機能があり、サーバーを経由させることにより2つのデバイス間でのNFCトラフィックの受け渡しも行うことができる。
- ミュールが自身の端末を使い、リレーされたトラフィックを利用して実店舗のPOS端末でタッチ決済を実行。
- ミュールの持つ端末はPOS端末からの支払いリクエストを受け取ると、このリクエストを記録してリレーサーバーへ渡す。
- リレーサーバーはさらにこのリクエストを、攻撃者の持つ「NFCリーダー(Reader)」端末へ転送。なお、この端末は②で使われる端末とは別。
- 攻撃者は②の端末を使い、支払い要求に応じる。このレスポンスは再度リーダー端末→リレーサーバー→ミュールの端末という流れで転送され、最終的にPOS端末へ渡され、これにより決済が完了する。
過去に報告された「NGate」攻撃がベースに
Ghost Tap戦術は、今年8月にESETが報告したキャンペーン「NGate」をベースに設計されているという。NGateもGhost Tapと同様に、NFCGateを利用してターゲットのAndroid端末から攻撃者の持つ端末へNFCデータを送るもの。もう少し具体的には、まずターゲットに対し、「あなたの口座がセキュリティインシデントの被害に遭いました」などと伝える内容の偽のSMSメッセージや自動通話を送信。この中で手持ちのカードの状態を確認する必要があると伝え、あるモバイルアプリをダウンロードするよう指示する。このアプリによりNFCGateがダウンロードされ、NFCデータが攻撃者の端末へ送られる。
NGateについて詳しくはこちらの記事で:巧妙化するモバイルバンキングマルウェア:最近のキャンペーン6つのまとめ
予防や検知はかなり困難
Ghost Tap戦術を用いた攻撃は、以下のような理由から検知や予防が困難だとされる。
- 決済は正規のユーザー端末から行われているように見えるため、従来の不正検知メカニズムに引っかからない。
- ミュールの購入する商品は安価なものが多く、したがって疑念を生みにくい。
- 商品の購入は地理的に離れた複数箇所で実施されることが考えられ、この場合追跡や特定が困難。
- ミュールの端末は「機内モード」に設定されていることがあり、その場合居場所の特定はさらに難しくなる(NFCシステムは機内モードでも使用可能)。
リスク軽減策は?
ThreatFabricによれば、Ghost Tap戦術への対抗策として、金融機関には以下を実施することが推奨されるという。
- モニタリングの強化:カードが新規デバイスに紐づけられるなど、疑わしい事象に対するモニタリングを強化する。
- ロケーションベースの分析:カード所有者のデバイスがある位置と購入が行われた位置に矛盾がないかなど、トランザクションのパターンをロケーションベースで分析する。
- 行動的生体認証:行動的生体認証を導入し、アカウント侵害の兆候となり得るような行動面の異常を検出できるようにする。
一方で消費者の側については、詐欺と思われる送金がないかを注意深く確認することが重要となる。その上で、疑わしいものを見つけた場合には、被害を最小限に抑えるため、速やかにカード会社や金融機関に報告してカードを停止するなどの措置を取ることが求められる。
【無料配布中!】ランサムウェアレポート&インテリジェンス要件定義ガイド
ランサムウェアレポート:『2024 Ransomware? What Ransomware?』
以下のバナーより、ランサムウェアのトレンドを扱ったSilobreaker社のレポート『2024 Ransomware? What Ransomware?』の日本語訳バージョンを無料でダウンロードいただけます。
- 主なプレーヤーと被害組織
- データリークと被害者による身代金支払い
- ハクティビストからランサムウェアアクターへ
- 暗号化せずにデータを盗むアクターが増加
- 初期アクセス獲得に脆弱性を悪用する事例が増加
- 公に報告された情報、および被害者による情報開示のタイムライン
- ランサムウェアのリークサイト – ダークウェブ上での犯行声明
- 被害者による情報開示で使われる表現
- ランサムウェアに対する法的措置が世界中で増加
- サプライチェーン攻撃を防ぐため、手口の変化に関する情報を漏らさず把握
- 複数の情報源と脅威インテリジェンスツールを活用することが依然不可欠
インテリジェンス要件定義に関するガイドブック:『要件主導型インテリジェンスプログラムの構築方法』
以下のバナーより、優先的インテリジェンス要件(PIR)を中心とした効果的なインテリジェンスプログラムを確立するためのポイントなどを解説したSilobreaker社のガイドブック『要件主導型インテリジェンスプログラムの構築方法』の日本語訳バージョンを無料でダウンロードいただけます。
<ガイドブックの主なトピック>
本ガイドブックでは、優先的インテリジェンス要件(PIR)の策定にあたって検討すべき点と、PIRをステークホルダーのニーズに沿ったものにするために考慮すべき点について詳しく解説しています。具体的には、以下のトピックを取り上げます。
- 脅威プロファイルの確立
- ステークホルダーの特定・分析
- ユースケースの確立
- 要件の定義と管理
- データの収集と処理
- 分析と生産
- 報告
- フィードバック
- 実効性の評価