サイバーセキュリティーサービスの比較・資料請求サイト|中小企業向けのセキュリティ対策を考える「サイバーセキュリティ」に関する情報メディア。日本の中小企業の情報を守るため、最新のセミナー・人材育成・製品・中小企業向けのセキュリティ対策を考えるサイバーセキュリティ情報サイトです。

ジュースジャッキング攻撃とは?危険な理由や手口、対策方法について徹底解説



スマホやタブレットを始めとするさまざまな機器は、USBで充電できるようになっています。外出先で充電が足りずに、USBポートを利用して充電した経験はありませんか?そんなあなたに知っておいて欲しいセキュリティリスクがあります。

「ジュースジャッキング攻撃」と呼ばれる攻撃手法を知っていますか?空港やカフェなどのUSBポートに接続された機器から、データを盗み取ったり、マルウェアを仕込んだりする攻撃のことです。今回は、ジュースジャッキング攻撃の危険性から、手口の紹介、対策方法について徹底解説していきます。

ジュースジャッキング攻撃とは

ジュースジャッキング(Juice Jacking)攻撃とは、USBポートに悪意のある第三者がマルウェアを仕込んだり、データを盗み出すための細工をしたりする攻撃のことを表します。あなたは、空港やカフェなどの公共の場において、スマホなどの機器を充電する目的で設置されたUSBポートを利用したことがあるのではないでしょうか?最近ではよく見かけますよね。

現時点では、具体的な被害報告は上がってきていないものの、2016年に開催されたリオ五輪では、セキュリティの専門家に課題として取り上げられたほどの攻撃です。被害報告が上がってきていないとは言え、攻撃を受けた人がいないとは限りません。実際には攻撃されており、被害者が気づいていないだけ、ということも考えられます。

ジュースジャッキング攻撃の手口

ジュースジャッキング攻撃は、公共の場に設置されているUSBポートに細工を行います。見た目には通常の充電用USBポートにしか見えませんが、接続することでマルウェアを仕込んだり、データを盗んだりすることが可能です。

また、USBポートだけでなく、USBケーブルを始めとする充電ケーブルに細工をする手口も発見されています。「ハッカーのサマーキャンプ」とも呼ばれている「DEFCON」というラスベガスで開催されたハッキング会議があります。そのなかで、細工したiPhoneの充電ケーブルを使用することで、マルウェアを仕込み、遠隔操作ができるようになる事例が発表されました。

悪意のある第三者は、公共の充電用USBポートに細工をするだけでなく、充電用のケーブルにも細工をすることで、ジュースジャッキング攻撃を行います。

公共のUSB充電ポート・ケーブルが危険な理由

公共のUSB充電ポートやケーブルは、ジュースジャッキング攻撃に利用される、ということをお話ししました。具体的に、どのような危険があるのか解説していきます。

マルウェアに感染してしまう

マルウェアはウィルスを含む不正なソフトウェアの総称です。ウィルスに感染した場合、あなたのスマホやパソコンなどのデータが破壊される可能性があります。ほかにも、あなたのデータを人質として金銭を要求する「ランサムウェア」など、さまざまな脅威にさらされる可能性があります。

情報を抜き取られる

マルウェア感染と合わせて、あなたの情報を抜き取られてしまう可能性も考えられますね。スマホであれば、電話番号やメールアドレス、氏名や住所など、あらゆる個人情報が盗まれてしまうかもしれません。オンラインショッピングを利用している人も多いでしょう。オンラインショッピングサイトのあなたのアカウント情報も盗まれてしまうため、不正に商品を購入されることも考えられます。

また、あなたの情報を抜き取られるだけでなく、あなたの友人や知人の情報も同じように盗まれてしまう可能性があるのです。あなたからのメッセージのように見せかけて、マルウェアを送りつけて情報を盗むなど、さまざまな方法が考えられます。

危険なアプリをインストールされる

マルウェアを含む危険なアプリを勝手にインストールされてしまう可能性があります。あなたの情報を盗み出すためのスパイウェアや、勝手に広告を出し続けるアドウェアなどが考えられますね。あなたにとって好ましくない、危険なアプリをインストールされてしまうかもしれません。

勝手に操作されてしまう可能性も

危険なアプリやマルウェアを勝手にインストールされてしまった結果、あなたのスマホやパソコンを勝手に操作されてしまう可能性があります。スマホを遠隔操作され、勝手に写真や動画を撮られたり、メールや通話履歴を見られたりした、という事例もあります。

ほかにも、パソコンを遠隔操作して他人になりすました上で犯罪予告をし、4人が誤認逮捕されてしまった事件もありましたね。勝手にあなたの機器を操作されてしまうと、思わぬ不利益を被る可能性があります。

参照女性スマホに無断で遠隔操作アプリ 容疑者「承諾得た」/朝日新聞デジタル
参照パソコン遠隔操作事件/AOS

ジュースジャッキング攻撃への対策

危険なジュースジャッキング攻撃ですが、具体的にどのような対策方法があるのでしょうか。具体的な対策方法について解説していきます。

公共のUSBポートやケーブルで充電しない

最も効果的であるのは、公共のUSBポートや自分のものではないケーブルを使って充電をしないことです。公共のUSBポートは便利で、無料で充電ができることは魅力的です。しかし、ジュースジャッキング攻撃の危険性を考えれば、利用しない方が良いでしょう。

米IBMのセキュリティ専門家は「公衆のUSBポートにスマホをつなぐことは、道に落ちている歯ブラシで葉を磨くようなものだ」と発言しています。あまり良くない結果となることは、想像に難くないですよね。

セキュリティツールを使用する

公共のUSBポートは非常に便利であるため、全く利用しない、というのは難しいかもしれません。そこで、セキュリティツールを使用することも一つの手と言えます。USBポートとUSBケーブルの間に接続し、充電だけを行うように制御するためのセキュリティツールです。

「USBコンドーム」や「Juice Jacking Defender」といったツールがあります。USBコンドームは、海外のショッピングサイトで約750円、Juice Jacking DefenderはAmazonにて、4,800円程度で販売されています。

外出先で充電する機会が多い人は、セキュリティ対策として導入を考えてみてはいかがでしょうか。

参照The Original USB Condom/SyncStop
参照ジュースジャックDefender/Amazon

充電専用のケーブルを使用する

USBケーブルには、データ転送用と充電用の2種類があることを知っていますか?USBは、もともとコンピュータに周辺機器を接続するための規格です。そのため、一般的なUSBケーブルはデータ転送ができるケーブルとなっています。

しかし、最近では充電目的でUSBポートを利用する機会が増え、充電専用のUSBケーブルも販売されています。充電専用のUSBケーブルは、データ通信ができないため、ジュースジャッキング攻撃に対する対策となり得ます。

モバイルバッテリーを使用する

モバイルバッテリーを利用することでも、ジュースジャッキング攻撃を防げます。注意点としては、自身で用意したモバイルバッテリーを使うことです。ホテルなどによっては、モバイルバッテリーを貸してくれる場所もあるでしょう。しかし、誰が使用したかわからないようなモバイルバッテリーであれば、細工が施されている可能性も考えられます。自身で用意したモバイルバッテリーを利用することが重要です。

まとめ

ジュースジャッキング攻撃は、公共の場所に設置されているUSBポートを利用し、あなたのスマホなどにマルウェアを仕込んだり、データを盗んだりする攻撃方法です。USBポートだけでなく、充電ケーブルに細工をされている可能性もあります。

ジュースジャッキング攻撃は、マルウェア感染・遠隔操作・情報盗取など、あなたへの被害が大きな攻撃となるため、注意が必要です。

ジュースジャッキング攻撃を防ぐためには、公共のUSBポートを利用しない、セキュリティツール・充電専用ケーブル・モバイルバッテリーを使用する、といった対策方法があります。少し気をつければ防げる攻撃ですので、外出先でスマホなどの機器を充電する際には、注意する習慣を身に着けましょう。





  • LINEで送る

書籍「情報漏洩対策のキホン」プレゼント


当サイトへの会員登録で、下記内容の書籍「情報漏洩対策のキホン」3000円相当PDFプレゼント
(実際にAmazonで売られている書籍のPDF版を無料プレゼント:中小企業向け大企業向け

下記は中小企業向けの目次になります。

  1. 1.はじめに

  2. 2.あなたの会社の情報が漏洩したら?

  3. 3.正しく恐れるべき脅威トップ5を事例付きで
    •  3-1.ランサムウェアによる被害
    •  3-2.標的型攻撃による機密情報の窃取
    •  3-3.テレワーク等のニューノーマルな働き方を狙った攻撃
    •  3-4.サプライチェーンの弱点を悪用した攻撃
    •  3-5.ビジネスメール詐欺による金銭被害
    •  3-6.内部不正による情報漏洩

  4. 4.情報漏洩事件・被害事例一覧

  5. 5.高度化するサイバー犯罪
    •  5-1.ランサムウェア✕標的型攻撃のあわせ技
    •  5-2.大人数で・じっくりと・大規模に攻める
    •  5-3.境界の曖昧化 内と外の概念が崩壊

  6. 6.中小企業がITセキュリティ対策としてできること
    •  6-1.経営層必読!まず行うべき組織的対策
    •  6-2.構想を具体化する技術的対策
    •  6-3.人的対策およびノウハウ・知的対策

  7. 7.サイバーセキュリティ知っ得用語集

無料でここまでわかります!
ぜひ下記より会員登録をして無料ダウンロードしてみてはいかがでしょうか?

無料会員登録はこちら

SNSでもご購読できます。