空港の無料USB充電は危険？ サイバー犯罪に警鐘も実は被害報告なし 「マスコミらが煽りすぎ」との指摘：この頃、セキュリティ界隈で

[鈴木聖子，ITmedia]

　空港やホテルのロビーにある無料USB充電ポートを使っただけでスマートフォンがマルウェアに感染し、個人情報やパスワードを盗まれてしまう――「ジュースジャッキング」と呼ばれるそんなサイバー犯罪の手口について、米連邦通信委員会（FCC）や米連邦捜査局（FBI）が改めて注意を呼びかけた。

　しかし実はこの攻撃が実際に仕掛けられた事案は確認されておらず、今更の警告は不必要な不安をあおるだけだという意見もある。

　ジュースジャッキングを巡ってFBIは4月「空港やホテル、ショッピングセンターなどにある無料の充電ステーションは使わないように。悪い連中が公共のUSBポートを利用してマルウェアや監視ソフトウェアをデバイスに仕込む方法を見いだした」とツイートした。

　FCCも消費者向けの勧告を更新し、USB充電経由でパスワードなどの情報が盗まれれば、被害者のオンラインアカウントへの不正アクセスに利用されたり、別の犯罪集団に転売されたりする恐れもあると警告した。

FCCの警告

　ジュースジャッキングのコンセプトは実証済みで、技術的に可能であることが証明されているとFCCは解説する。ただし、実際にこの手口が使われた事例はFCCでは確認していないという。

マスコミが煽りすぎ？　具体例などは確認できず

　それでもマスコミは、Washington PostやCNN、Fortuneなどの大手も含めてこの問題を一斉に報じた。一方でニュースサイト「Ars Technica」のように、これを「根拠のないサイバーセキュリティ警告」と位置付け「こうした警告や報道は、脆弱なパスワードの使用やセキュリティアップデートを怠るといった、もっと重大な問題から目をそらさせ、不必要な不安を生じさせる」と分析したメディアもある。

　FCCの注意喚起はもともと2019年に掲載され、21年に更新されたもの。今回、FBIのツイートが注目を浴びたことを受けて再度更新されていた。

　ジュースジャッキングという用語は2011年にセキュリティ専門ジャーナリストのブラアン・クレブス氏が使い始めた造語だという。同年のハッカーカンファレンスDEFCONで、モバイル機器をコンピュータに接続すれば多くの場合、データを同期してしまうという現実を周知させるため、研究者がモバイル充電ステーションを設置して注目を集めたことがきっかけだった。

　クレブスさんによれば、AppleやGoogleはその後、デバイスをUSB充電ケーブルでコンピュータに接続しても自動的に同期されないよう、ハードウェアやソフトウェアの動作を変更。データを転送する前にまず、そのコンピュータを信頼するかどうか、ユーザーに確認を促すようになった。

　11年のDEFCONでジュースジャッキングの手口を披露した研究者のブライアン・マーカスさんは、公共の場で実際にジュースジャッキング目的のポートが見つかった事案は確認していないと言い「FBIが今になってなぜ改めて注意喚起したのかは分からない」とクレブスさんにコメントしている。

　ファクトチェックサイト「Snopes」はジュースジャッキングの深刻度を検証した記事を掲載し「USBポート経由で情報を盗んだりマルウェアをインストールしたりすることは技術的には可能だが、そうした行為が広く行われているという証拠はない」と指摘。

　「FBIもFCCも、この脅威がどの程度広まっているかに関する数字は示していない。改めて警告を出すことが適切だと思った理由も説明していない」と伝えた。

Snopesの報道

ジュースジャッキングのリスクは10年前よりも向上

　ただしクレブスさんによると、ジュースジャッキング攻撃に利用できる製品は安価で簡単に入手できるという。例えばAppleの充電ケーブルや一般的なUSB充電ケーブルのように見える侵入テスト用のハッキングツール「OMGケーブル」は180ドルで入手できるという。

　攻撃者がその気になれば、この攻撃に使える機器は大幅に安く調達できるようになったとマーカスさんは言い「恐らくリスクは10年前よりも高くなっていると思う」とコメントしている。

　FCCは被害を防ぐための対策として、自分の充電器とUSBケーブルを持参して電源コンセントで充電するか、予備のバッテリーを持ち歩くよう勧告。もしもUSBポートに接続して「データを共有」「このコンピュータを信頼する」「充電のみ」の選択肢が表示されたら、必ず「充電のみ」を選択するよう促している。