公共の充電ステーションは、いざというときにとても便利な存在です。

その一方で、ハッカーにとってもとても便利な存在となりうることを忘れてはいけません

なぜならUSB充電ステーションには、マルウェアの注入やデータの盗難を組み込むことがかんたんにできるからです。

これが世にいうジュース・ジャッキング

この記事では、ジュース・ジャッキングの手口と、それから身を守る方法にについて解説します。

空港のUSB充電ステーションを使うと「ジュースジャッキング」される危険あります

空港のUSB充電ステーションを使うと「ジュースジャッキング」される危険あります

ジュース・ジャッキングの仕組み

ジュース・ジャッキングは、USBポートの設計思想を巧みに利用しています。スマートフォンの場合、USBポートは主に充電に使われますが、データの転送にも使いますね。

そのため、ユーザーは充電のためだけに接続しているつもりでも、データ転送のためのドアを開放しているのと同義なのです

これは実際の脅威というよりは、潜在的脅威としてとらえられています。なぜなら最近のスマートフォンは、データ転送前に許可を求める仕様になっているからです。

つまり、ユーザーが注意を払ってさえいれば、ハッキングは起こりえないはず。でも、ちょっと待って。ハッカーがいつかその防御網を迂回する方法を見つけないとは限らないのです

想定される被害

ジュース・ジャッキングは、データの盗難やマルウェアの埋め込みに使われる可能性があります。

データの盗難

データの盗難によるダメージの大きさは、どのデータを盗まれたかによりますね。たいていのスマホには、せいぜい写真と連絡先程度のデータしか入っていないでしょう。

しかし、ジュース・ジャッキングでは、重大情報を持っている個人を特定し、標的にすることがかんたんにできてしまいます。

マルウェア

phone-security-settings

マルウェアは、誰にでも起こりうる脅威です。

たとえば、充電ステーション経由でキーロガーが埋め込まれ、スマホに入力したパスワードが読み取られるという事態が想定されます。

あるいは、マルウェアによってスマホの位置情報が追跡されたり、通話が録音されたりすることも。スマホにロックをかけて使えなくすることもできます。

ジュース・ジャッキングのアイデアはどこから来たの?

ジュース・ジャッキングのアイデアが最初に実演されたのは、2011年に開催されたセキュリティカンファレンス「DEF CON」です。

会場には無料の充電ステーションが設置されると宣伝されていました。

何も知らずにスマートフォンを接続すると、公共の充電ポートの危険性を説明する警告メッセージが表示されるというデモンストレーションがありました。

セキュリティカンファレンスという性質上、DEF COMの参加者の多くは倫理観のあるハッカーです。にもかかわらず、360人超がこの充電ステーションに接続したというから驚き。

ジュース・ジャッキングは本当に脅威なの?

普通の人がジュース・ジャッキングに遭遇することはまずないでしょう。セキュリティ研究者の間で実証されているものの、実際に攻撃が行われたことは一度もないからです。

とはいうものの、セキュリティ研究者がこのような攻撃を実演する理由は、理論上できることはいつか使われることになるケースが多いためであることには留意が必要です。

ジュース・ジャッキングは防げるの?

ジュース・ジャッキングは、かんたんに防ぐことができます。そのための4つの方法を紹介しましょう。

コンセントを使う

この手の攻撃には、USB接続が必須です。

逆にいえば、悪意のあるコンセントを作ることはできません。充電器を常に持ち歩き、コンセントからの充電を心掛けていれば、安全な状態が保たれます

スペアバッテリーを使う

予備のバッテリーは、それほど高価なものではありません1週間以上持つようなバッテリーも出ています。悪意ある充電ステーションを回避するという目的があってもなくても、1台持っておいて損はありません。

スマホをロックする

それでも公共の充電ステーションを使わざるを得ないときは、スマートフォンがロックされていることを確認しましょう。スマホへのアクセスにはPINが必要であることを考慮すると、ロック中の攻撃は実質的に不可能です。

充電専用ケーブルを使う

充電専用のケーブルが販売されています。これを使えば、電力は伝えられても、データを送ることはできません

そのようなケーブルを持ち歩いていれば、たとえ悪意のあるポートでもリスクなく使えます。実はこの充電専用ケーブル、信頼できないコンピュータから充電するときにも便利です。

ビデオ・ジャッキングとは?

公共充電ステーションは、ビデオ・ジャッキングにも使われます。ビデオ・ジャッキングとは、ジュース・ジャッキングと似ていますが、データの代わりにスマホの画面データを盗むという攻撃です

つまり、そこにスマホを接続すると、攻撃者はあなたがスマホでしていることをすべて覗けるようになります。そこには、メッセージやパスワードなども含まれますね。

しかも、もう1つの画面はどこにでも存在しうるため、被害者が見られていることに気づくことはまずありません。

これも、研究者が発明した理論的な攻撃にすぎません。とはいえ、公共の場で充電するときには十分に留意しておいた方がいいでしょう。

USBデバイスによるそれ以外の脅威

usb-drive-in-hand

USBデバイスがもたらす脅威は、ジュース・ジャッキングだけではありません。

中でもハッカーにとって個人や大きな組織を攻撃するための都合のいいデバイスの1つが、ポータブルUSBドライブです。

USBドライブの問題は、プログラム次第でなんでもできてしまうこと。マルウェア、ランサムウェア、トロイの木馬などを埋め込めることは言うまでもありません。

コンピュータは、警告メッセージを表示せずにUSBデバイスを自動的に開きます。また、USBドライブは安いので、バルクで販売されることがありますよ。

つまり、1つでも使われれば利益が得られることを期待して、攻撃者がそこに数百個を混ぜ込むこともかんたんにできてしまいます

ハッカーは、多くの人がそれらのデバイスを使いたくなるように、あらゆる仕掛けを考える。しかも、2016年の調査で、それが難しくないことが示されました。

キャンパス内に300個のデバイスをばらまいた結果、誰に頼まれたわけでもないのに、実にそのうちの48%が接続されたのです。

この手の攻撃が蔓延していることを考慮すると、入手元のわからないUSBデバイスは絶対に使ってはいけません。

その他のスマートフォンハックから身を守るには

充電ステーションの脅威はよく知られています。データ転送前にスマホ上に警告が表示されるのはそのためです。

しかし、このようにスマホが未然に防いでくれないハッキングテクニックは、世の中にたくさん存在しています。

それらの脅威から身を守るためには、ダウンロードするもの、接続するネットワーク、スマホを貸す相手には、入念な注意を払うことが必要です


Source:Krebs on Security(1,2

Original Article: Are Public Smartphone Charging Stations Safe to Use? by MakeUseOf