ほぼ全ての主要Android／iOSデバイスに有効 USBを使う攻撃「CHOICEJACKING」とは？：セキュリティニュースアラート

グラーツ工科大学の研究者らはスマートフォンに不正アクセス可能な新たなUSB攻撃手法「CHOICEJACKING」を発表した。SamsungやXiaomi、Google Pixel、Apple iPadなど主要スマホ11種が脆弱であることが分かっている。

[後藤大地，有限会社オングス]

　オーストリアのグラーツ工科大学の研究者らは「Android」や「iOS」といったモバイルデバイスを標的とする新たなUSBベースの攻撃手法「CHOICEJACKING」の情報を公開した。

　この手法は、かつて問題となった「JuiceJacking」と同様に、悪意ある充電器を使ってユーザーのスマートフォンに不正アクセスを試みるものだ。現代のモバイルOSにおいて導入された対策を回避できる点で強く警戒が必要だとされている。

瞬きより早く不正アクセス実行　主要スマホ11機種が脆弱であることが判明

　脅威となったかつての「JuiceJacking」対策として、AndroidやiOSにはUSB経由のデータ接続に対しユーザーの明示的な同意を必要とするよう設計が組み込まれた。しかし、CHOICEJACKINGはこの設計がUSBホストとUSBデバイスの同時動作を前提としていないという前提の隙を突くことで回避が可能であることを実証した。

　攻撃者はデータ接続の同意ダイアログが表示されている間に偽のユーザーインタフェース入力を注入することで、自己のデータ接続要求をユーザーに成り代わって承認できる。

　CHOICEJACKINGには3つの具体的な攻撃技術が含まれている。第1の手法は、Androidのプロトコル「Android Open Accessory Protocol」（AOAP）の実装上の欠陥を悪用し、アクセサリーモード以外でも入力イベントを注入可能であることを利用する。

　第2の手法は、Androidの入力処理サブシステムのレースコンディションを悪用して、同意ダイアログ表示中に事前に注入されたイベントで承認操作を実行する。

　第3の手法は、Bluetooth HIDデバイスを偽装して同意操作をリモートで実行するものであり、iOSにも適用できる。

　これらの攻撃技術は、ほぼ全ての主要AndroidおよびiOSデバイスに対して成功し、ファイルアクセスやコード実行が可能となる。中でも第1の手法は高速かつ汎用（はんよう）性が高く、最速では133ミリ秒でファイルアクセスが成立し、人間の瞬きよりも短い時間で攻撃が完了することが確認されている。

　攻撃成功のためには端末が一度でもロック解除されている必要があるが、現実的な利用状況（通話中、動画視聴中、カーナビ使用中など）ではこの条件が満たされることが多い。さらに、著者らは給電時の電流変動を使ったパワーラインサイドチャネル（PLSC）を導入し、ユーザーが画面を見ていないタイミングを検出することで、より隠密な攻撃の実現も可能としている。

　この研究では、SamsungやXiaomi、Huawei、Oppo、Honor、Vivo、Google Pixel、Apple iPadを含む8ベンダー11機種を対象に評価を実施し、全てのデバイスが何らかの形でCHOICEJACKINGに脆弱（ぜいじゃく）であることが確認された。中にはロック状態でもMTPファイルアクセスを許すケースも存在し、USB実装の不備がセキュリティリスクを高めていることが浮き彫りになった。

　同研究のもう一つの注目点は、現行のJuiceJacking対策がUSB周辺機器やアクセサリーへのデフォルト信頼に依存していることを突き、根本的な設計上の欠陥を明らかにしたところにある。グラーツ工科大学はこのことについて単なる実装ミスではなく、USB双方向通信という設計自体が持つセキュリティの“穴”だと主張している。

　対策としては、全てのUSBデバイスやアクセサリー接続に対し、初回接続時にユーザーの明示的な同意を求める仕組みの導入が考えられている。この他、USB Type-C認証規格の広範な導入によって、信頼済みデバイスのホワイトリスト化が可能となり、安全性を高めることも期待されている。

　同研究の成果は6社への責任ある情報開示を通じて、実際の脆弱性修正にも寄与している。GoogleやSamsungは既にCVEを発行しており、他の多くのベンダーも修正作業を進行中だ。CHOICEJACKINGは今後のUSBセキュリティ設計に大きな影響を及ぼす可能性がある。ユーザーは脆弱性対応が済むまで、信用できない場所に設置されたUSBポートへの接続は避けるなどの行動を取ることが求められる。