空港の「USB充電ポートや無料Wi-Fi」は危険、米運輸保安庁が警告
サイバーセキュリティの世界でもっとも議論を呼ぶテーマのひとつが、「ジュース・ジャッキング」と呼ばれるものだ。このハッキングはほぼ毎年、政府の機関が休暇シーズン前に新たな警告を出すたびにニュースになり、実際の攻撃よりも記事の数の方が多いほどだ。しかし先日、この攻撃が実際に旅行者に脅威を及ぼすことを示唆する新たな警告が発出された。
ジュース・ジャッキングは、空港やホテルの公共の充電ケーブルやソケットにスマートフォンを接続する旅行者をターゲットとしたもので、無害な充電器に見えるデバイスの裏側でコンピュータが稼働していて、端末からデータを抜き取るという攻撃だ。米連邦通信委員会(FCC)は、ジュース・ジャッキングは技術的に実証された概念ではあるものの、実際に発生したと確認された事例は把握していないとしているが、用心だけはしておいた方がいいだろう。
■自前の電源アダプターやモバイルバッテリーを利用し、「空港のUSB充電ポート」に直接つながない
最新の米政府による警告は運輸保安庁(TSA)が発したもので、「空港では、スマートフォンをUSBポートに直接差し込まないこと」や「TSAの基準に準拠した電源アダプターやバッテリーパックを持参して、それに接続すること」を勧めている。また、その理由を「ハッカーがUSBポートにマルウェアを仕込む可能性があるため」としており、「当局は、この攻撃が『ジュース・ジャッキング』や『ポート・ジャッキング』と呼ばれていることを把握している」と述べている。
■「無料Wi-Fi」を使用せず、自分の情報を守るためパスキーを設定
TSAはまた、スマートフォンのユーザーに対して「無料の公共Wi-Fiを使わないこと」を推奨し、特にオンラインで買い物をする場合は利用を控え、セキュリティレベルが低いWi-Fiに接続中に、センシティブなデータを「絶対に入力してはならない」とも述べている。しかし、この公共Wi-Fiの乗っ取りリスクも、ジュース・ジャッキングと同様に、サイバー専門家の間で意見が分かれる話題だ。というのも、このようなWi-Fiの利用により位置情報が漏れる可能性はあるものの、Webサイトやアプリから送受信される暗号化されたデータ自体は安全だと考えられているからだ。
より深刻なリスクとしては、攻撃者が本物そっくりの偽Wi-Fiにユーザーを接続させ、悪意のあるアプリのインストールを促したり、グーグルやマイクロソフトのアカウントの偽のログインページに誘導したりするケースが挙げられる。この攻撃への対策としては、パスキーを使用し、リンク先やポップアップウィンドウからはログインせず、正規のルートからアクセスすることや、個人情報を安易に入力しないことが重要だ。さらに、接続しようとしているWi-Fiが、ホテルや空港の正規のものであるかどうかを注意深く確認することも推奨される。
■新種の攻撃が研究者によって議論される
また、ジュース・ジャッキングについては、これまでの理論上の脅威に、新たな厄介な展開が加わった。これも現時点では理論段階に過ぎないが、実際に機能する攻撃に発展する可能性がある。新たな研究論文が、「ChoiceJacking(チョイス・ジャッキング)」と呼ばれるUSBベースの新種の攻撃群を紹介しており、研究者はこれを「既存のジュース・ジャッキング対策をすり抜ける初の攻撃」に位置づけている。
オーストリアの研究チームは、「従来の対策は、攻撃者がデータ接続の確立中に入力イベントを注入できないという前提に立っているが、実際にはこの前提は成り立たない」と指摘した。「我々は、プラットフォームに依存しない攻撃の原理と、AndroidおよびiOSにおける具体的な3つの攻撃手法を提示した。これにより、悪意ある充電器が自動的にユーザーの入力を偽装して、自らデータ接続を有効化することが可能になる」とこの研究チームは述べている。
■心配な人はデータ遮断機能付きの充電アクセサリー、VPNを利用
この問題はiOSよりもAndroidにとって重大だが、ほとんどのユーザーにとっては過度に心配する必要はない。それでも、自分が標的にされる可能性があると考えている人や、リスクの高い地域に渡航する予定がある人は、データ遮断機能付きの充電アクセサリーを介さずに公共の充電スポットを利用したり、VPNを用いずに公共Wi-Fiに接続したりすることは避けたほうがいいだろう。
■自分が管理していない機器にスマホを接続した状態でロック解除しない
また、自分が所有・管理していないデバイスにスマートフォンを接続した状態で、ロックを解除するのは避けたほうがいい。というのも、その瞬間にUSB経由でデータが抜き取られるリスクがあるからだ。興味深いことに、グーグルやサムスンは現在、こうしたUSB経由のデータの抜き取りに対する防御機能を強化している。さらにiOSやAndroidには、3日以上ロックされたままの端末を自動的に再起動させる新機能も加わっており、これもケーブル経由の攻撃に対する防御策となっている。
■チョイス・ジャッキングの場合「Android 15でも端末の安全は保証されない」
チョイス・ジャッキングについて、セキュリティ大手のカスペルスキーは「アップルとグーグルは、それぞれiOS/iPadOS 18.4およびAndroid 15でこれらの攻撃手法を封じた」と述べているが、「残念ながら、AndroidではOSを最新にしていても端末の安全は保証されない」と警告している。そのため、「Android 15にアップデートしたユーザーは、念のため事前に自宅などの信頼できるPCにケーブルで接続し、USB接続時にパスワード入力や生体認証による確認が求められる設定になっているかをテストしておくべきだ。そうでない場合は、公共の充電ステーションの利用は避けるべきだ」と推奨している。
