スマホやタブレットを始めとするさまざまな機器は、USBで充電できるようになっています。外出先で充電が足りずに、USBポートを利用して充電した経験はありませんか?そんなあなたに知っておいて欲しいセキュリティリスクがあります。
「ジュースジャッキング攻撃」と呼ばれる攻撃手法を知っていますか?空港やカフェなどのUSBポートに接続された機器から、データを盗み取ったり、マルウェアを仕込んだりする攻撃のことです。今回は、ジュースジャッキング攻撃の危険性から、手口の紹介、対策方法について徹底解説していきます。
ジュースジャッキング攻撃とは
ジュースジャッキング(Juice Jacking)攻撃とは、USBポートに悪意のある第三者がマルウェアを仕込んだり、データを盗み出すための細工をしたりする攻撃のことを表します。あなたは、空港やカフェなどの公共の場において、スマホなどの機器を充電する目的で設置されたUSBポートを利用したことがあるのではないでしょうか?最近ではよく見かけますよね。
現時点では、具体的な被害報告は上がってきていないものの、2016年に開催されたリオ五輪では、セキュリティの専門家に課題として取り上げられたほどの攻撃です。被害報告が上がってきていないとは言え、攻撃を受けた人がいないとは限りません。実際には攻撃されており、被害者が気づいていないだけ、ということも考えられます。
ジュースジャッキング攻撃の手口
ジュースジャッキング攻撃は、公共の場に設置されているUSBポートに細工を行います。見た目には通常の充電用USBポートにしか見えませんが、接続することでマルウェアを仕込んだり、データを盗んだりすることが可能です。
また、USBポートだけでなく、USBケーブルを始めとする充電ケーブルに細工をする手口も発見されています。「ハッカーのサマーキャンプ」とも呼ばれている「DEFCON」というラスベガスで開催されたハッキング会議があります。そのなかで、細工したiPhoneの充電ケーブルを使用することで、マルウェアを仕込み、遠隔操作ができるようになる事例が発表されました。
悪意のある第三者は、公共の充電用USBポートに細工をするだけでなく、充電用のケーブルにも細工をすることで、ジュースジャッキング攻撃を行います。
公共のUSB充電ポート・ケーブルが危険な理由
公共のUSB充電ポートやケーブルは、ジュースジャッキング攻撃に利用される、ということをお話ししました。具体的に、どのような危険があるのか解説していきます。
マルウェアに感染してしまう
マルウェアはウィルスを含む不正なソフトウェアの総称です。ウィルスに感染した場合、あなたのスマホやパソコンなどのデータが破壊される可能性があります。ほかにも、あなたのデータを人質として金銭を要求する「ランサムウェア」など、さまざまな脅威にさらされる可能性があります。
情報を抜き取られる
マルウェア感染と合わせて、あなたの情報を抜き取られてしまう可能性も考えられますね。スマホであれば、電話番号やメールアドレス、氏名や住所など、あらゆる個人情報が盗まれてしまうかもしれません。オンラインショッピングを利用している人も多いでしょう。オンラインショッピングサイトのあなたのアカウント情報も盗まれてしまうため、不正に商品を購入されることも考えられます。
また、あなたの情報を抜き取られるだけでなく、あなたの友人や知人の情報も同じように盗まれてしまう可能性があるのです。あなたからのメッセージのように見せかけて、マルウェアを送りつけて情報を盗むなど、さまざまな方法が考えられます。
危険なアプリをインストールされる
マルウェアを含む危険なアプリを勝手にインストールされてしまう可能性があります。あなたの情報を盗み出すためのスパイウェアや、勝手に広告を出し続けるアドウェアなどが考えられますね。あなたにとって好ましくない、危険なアプリをインストールされてしまうかもしれません。
勝手に操作されてしまう可能性も
危険なアプリやマルウェアを勝手にインストールされてしまった結果、あなたのスマホやパソコンを勝手に操作されてしまう可能性があります。スマホを遠隔操作され、勝手に写真や動画を撮られたり、メールや通話履歴を見られたりした、という事例もあります。
ほかにも、パソコンを遠隔操作して他人になりすました上で犯罪予告をし、4人が誤認逮捕されてしまった事件もありましたね。勝手にあなたの機器を操作されてしまうと、思わぬ不利益を被る可能性があります。
参照女性スマホに無断で遠隔操作アプリ 容疑者「承諾得た」/朝日新聞デジタル
参照パソコン遠隔操作事件/AOS
ジュースジャッキング攻撃への対策
危険なジュースジャッキング攻撃ですが、具体的にどのような対策方法があるのでしょうか。具体的な対策方法について解説していきます。
公共のUSBポートやケーブルで充電しない
最も効果的であるのは、公共のUSBポートや自分のものではないケーブルを使って充電をしないことです。公共のUSBポートは便利で、無料で充電ができることは魅力的です。しかし、ジュースジャッキング攻撃の危険性を考えれば、利用しない方が良いでしょう。
米IBMのセキュリティ専門家は「公衆のUSBポートにスマホをつなぐことは、道に落ちている歯ブラシで葉を磨くようなものだ」と発言しています。あまり良くない結果となることは、想像に難くないですよね。
セキュリティツールを使用する
公共のUSBポートは非常に便利であるため、全く利用しない、というのは難しいかもしれません。そこで、セキュリティツールを使用することも一つの手と言えます。USBポートとUSBケーブルの間に接続し、充電だけを行うように制御するためのセキュリティツールです。
「USBコンドーム」や「Juice Jacking Defender」といったツールがあります。USBコンドームは、海外のショッピングサイトで約750円、Juice Jacking DefenderはAmazonにて、4,800円程度で販売されています。
外出先で充電する機会が多い人は、セキュリティ対策として導入を考えてみてはいかがでしょうか。
参照The Original USB Condom/SyncStop
参照ジュースジャックDefender/Amazon
充電専用のケーブルを使用する
USBケーブルには、データ転送用と充電用の2種類があることを知っていますか?USBは、もともとコンピュータに周辺機器を接続するための規格です。そのため、一般的なUSBケーブルはデータ転送ができるケーブルとなっています。
しかし、最近では充電目的でUSBポートを利用する機会が増え、充電専用のUSBケーブルも販売されています。充電専用のUSBケーブルは、データ通信ができないため、ジュースジャッキング攻撃に対する対策となり得ます。
モバイルバッテリーを使用する
モバイルバッテリーを利用することでも、ジュースジャッキング攻撃を防げます。注意点としては、自身で用意したモバイルバッテリーを使うことです。ホテルなどによっては、モバイルバッテリーを貸してくれる場所もあるでしょう。しかし、誰が使用したかわからないようなモバイルバッテリーであれば、細工が施されている可能性も考えられます。自身で用意したモバイルバッテリーを利用することが重要です。
まとめ
ジュースジャッキング攻撃は、公共の場所に設置されているUSBポートを利用し、あなたのスマホなどにマルウェアを仕込んだり、データを盗んだりする攻撃方法です。USBポートだけでなく、充電ケーブルに細工をされている可能性もあります。
ジュースジャッキング攻撃は、マルウェア感染・遠隔操作・情報盗取など、あなたへの被害が大きな攻撃となるため、注意が必要です。
ジュースジャッキング攻撃を防ぐためには、公共のUSBポートを利用しない、セキュリティツール・充電専用ケーブル・モバイルバッテリーを使用する、といった対策方法があります。少し気をつければ防げる攻撃ですので、外出先でスマホなどの機器を充電する際には、注意する習慣を身に着けましょう。