Last Updated on 2025-04-22 10:06 by admin
新たなAndroidマルウェア「SuperCard X」が登場し、NFCリレー攻撃を利用した非接触型ATMやPOS端末での不正引き出しを可能にしています。
2025年4月18日にセキュリティ企業Cleafyによって報告されたこの攻撃は、現在イタリアの銀行顧客を標的にしており、ソーシャルエンジニアリング、偽アプリのインストール、NFCデータの傍受を組み合わせた多段階アプローチを採用しています。
攻撃者は偽の銀行セキュリティアラートを装ったSMSを送信し、被害者に電話をかけさせます。その後、電話で被害者を誘導して偽のセキュリティアプリをインストールさせ、カードをスマートフォンに近づけるよう指示します。これにより、カード情報が「Answer To Reset (ATR)」メッセージを含めて攻撃者のサーバーに送信され、攻撃者はその情報を使って不正な取引を行います。
このシステムは「Reader」(被害者側)と「Tapper」(攻撃者側)という2つのアプリで構成されており、盗まれたカード情報を使って攻撃者のデバイスが正規のカードとしてATMやPOS端末に認識されるようになっています。SuperCard Xは最小限の権限要求と狭い機能範囲により、多くのアンチウイルスソリューションでの検出率が低いという特徴も持っています。Googleはこの脅威に対応するため、未知のソースからのアプリインストールをブロックする新機能の開発に取り組んでいるとされています。
from:SuperCard X Android Malware Enables Contactless ATM and PoS Fraud via NFC Relay Attacks
【編集部解説】
テクノロジーの進化は私たちの生活を便利にする一方で、サイバー犯罪者の手法も同様に洗練されていきます。2025年4月18日にCleafyによって報告された「SuperCard X」は、その典型的な例と言えるでしょう。
このマルウェアが特に注目すべき点は、物理的なカードを盗むことなく、NFCテクノロジーを悪用してカード情報を遠隔で盗み取る手法を採用していることです。非接触決済の普及により、私たちはカードをかざすだけで支払いができるようになりましたが、SuperCard Xはまさにこの利便性を逆手に取った攻撃と言えます。
技術的には、SuperCard Xはオープンソースプロジェクト「NFCGate」と類似性を持ち、2024年に発見された「NGate」マルウェアとコードの共通点があることが報告されています。これは研究目的で開発されたツールが悪用された例であり、テクノロジーの両義性を示す事例と言えるでしょう。
また、この攻撃が単なる技術的手法だけでなく、ソーシャルエンジニアリングを巧みに組み合わせている点も見逃せません。偽のセキュリティアラート、緊急性を煽る電話、そして「セキュリティのため」という名目でのアプリインストール要求—これらは人間の心理的弱点を突いた古典的な手法ですが、NFCリレー攻撃という最新技術と組み合わさることで、その脅威は格段に高まっています。
SuperCard Xの技術的な特徴として、「Answer To Reset (ATR)」メッセージを使用したカードエミュレーション技術を採用している点も重要です。これにより、POS端末やATMは偽のカードを本物と認識してしまいます。また、最小限の権限しか要求しないため、多くのセキュリティソリューションでの検出率が低いという特徴も持っています。
さらに、このマルウェアがサービスとして提供されている(MaaS)点も重要です。これは技術的知識が乏しい犯罪者でも、料金を支払えば高度な攻撃ツールを利用できることを意味し、サイバー犯罪のハードルを下げています。
この種の攻撃に対する防御策としては、多要素認証の導入や、取引時に動的に変化するワンタイムパスワードの活用が効果的です。また、非接触型取引の金額制限を設定することで、被害を最小限に抑えることも可能でしょう。
Googleも既にこの脅威に対応し、未知のソースからのアプリインストールやアクセシビリティサービスへの権限付与を効果的にブロックする新機能の開発に取り組んでいるとされています。
日本ではまだこの種の攻撃の報告はありませんが、非接触決済の普及が進む中、同様の手法が国内でも使われる可能性は十分にあります。ユーザーは不審なSMSや電話に警戒し、見知らぬソースからのアプリインストールを避けるという基本的な対策を改めて徹底することが重要です。
テクノロジーの進化は私たちの生活を豊かにする一方で、新たなリスクも生み出します。しかし、適切な知識と対策があれば、そのリスクを最小限に抑えながら、テクノロジーの恩恵を享受することができるのです。innovaTopiaでは今後も、最新のセキュリティ脅威と対策について、読者の皆様にわかりやすくお伝えしていきます。
【用語解説】
NFC(Near Field Communication)
近距離無線通信の略で、数センチメートル以内の近距離でデータ通信を行う技術です。日本ではおサイフケータイやSuicaなどの交通系ICカード、クレジットカードの非接触決済などに利用されています。
NFCリレー攻撃
本来近距離でしか通信できないNFC信号を中継(リレー)することで、離れた場所にあるカードが実際にその場にあるかのように見せかける攻撃手法です。
ATR(Answer To Reset)メッセージ
スマートカードが初期化される際に送信する応答メッセージで、カードの種類や機能に関する情報を含みます。SuperCard Xはこのメッセージを利用してカードをエミュレートし、ATMやPOS端末を騙しています。
マルウェア・アズ・ア・サービス(MaaS)
マルウェアを開発・販売する違法なビジネスモデルです。技術的知識が乏しい犯罪者でも料金を支払えば高度な攻撃ツールを利用できるため、サイバー犯罪の敷居を下げています。
TOAD(Telephone-Oriented Attack Delivery)
電話指向型攻撃配信の略で、電話を通じて被害者を騙し、悪意のあるソフトウェアをインストールさせたり個人情報を引き出したりする手法です。フィッシングメールの電話版と考えるとわかりやすいでしょう。
POS(Point of Sale)端末
販売時点情報管理システムの略で、店舗などで支払いを処理する端末のことです。レジと考えれば良いでしょう。
相互TLS(mTLS)
クライアントとサーバーの両方が証明書を使って互いに認証を行う通信プロトコルです。一般的なTLSでは主にサーバーのみが認証されますが、mTLSでは双方向の認証が行われるため、より高いセキュリティを確保できます。
【参考リンク】
Cleafy(外部)
イタリア・ミラノに本社を置くサイバーセキュリティ企業。オンライン詐欺対策ソリューションを提供
Google Play Protect(外部)
Androidデバイスに組み込まれたマルウェア対策サービス。不正アプリからの保護機能を提供
【編集部解説】
皆さんのスマートフォンでも使われているNFC技術。便利な反面、今回のようなリスクも潜んでいます。普段何気なく使っている非接触決済、どんな仕組みで動いているか考えたことはありますか? また、不審なSMSや電話が来た時、どう対応していますか? テクノロジーの進化とともに私たちのセキュリティ意識も更新していく必要があるのかもしれません。皆さんならどんな対策を取りますか? SNSでぜひ教えてください。
【関連記事】
サイバーセキュリティニュースをinnovaTopiaでもっと読む
