他人から借りたUSB充電器は危険？ スマホの「ジュースジャッキング」、対策かわす新手の手口も：この頃、セキュリティ界隈で

[鈴木聖子，ITmedia]

　「旅客機の機内で親切な若い男性が充電器と充電ケーブルを貸してくれた。彼は私が寝ている間に降りてしまったので返すことができなかった。彼の持ち物を返せなかったことを本当に申し訳なく思う」

　インドの政治家のある投稿がちょっとした物議をかもした。「親切な若い男性」の行為は単純な善意なのか、それともデータを盗む目的の「ジュースジャッキング」攻撃だったのか――。そんな論議がユーザーの間で交わされている。

　発端となったのはインド・アッサム州のヒマンタ・ビスワ・サルマ州首相のXへの投稿。ニューデリーからドバイへ向かうエミレーツ航空の機内での出来事だった。

　同氏の投稿に対してユーザーからは「すぐにスマホをチェックしてもらった方がいい。きっと善意だったのかもしれないけれど、州首相である以上、スマホを追跡されたりデータを侵害されたりするリスクは常にある」「彼は改ざんされたケーブルをわざと置いていったのかもしれない。『O.MGケーブル』を調べて。ハッカーはあなたの端末からデータを盗む目的でこれを使っている」などのコメントが相次いだ。

インドの政治家の投稿

　こうしたユーザーが警告していたのが、マルウェアを仕込んだ充電器や充電ケーブルを使い、USB接続経由でスマートフォンからデータを盗むジュースジャッキングの手口だ。10年ほど前に発見されたこの攻撃については、公共の場の充電ステーションやUSBポートが利用される恐れがあると指摘され、スマホを安易に接続してはいけないと呼び掛けられていた。

　米Appleや米Googleは当時、iOSとAndroidのソフトウェアアップデートを通じてジュースジャッキングを防ぐ対策を実装。USBケーブルでスマホをコンピュータや充電器に接続すると、画面に「このコンピュータを信頼しますか？」などの確認メッセージが表示されるようになった。ユーザーが「許可」を選択しない限り、データの転送やコードの実行などはできない。

新たな手口「チョイスジャッキング」とは？

　一方、従来の対策をかわす「チョイスジャッキング」という新手の手口を、オーストリア・グラーツ工科大学の研究チームが発見した。

オーストリア・グラーツ工科大学が発表した論文

　同チームによると、ジュースジャッキング防止のために講じられた対策は「データ接続を確立している間は攻撃者が入力イベントを挿入できない」という前提で成り立っていたという。

　しかし、この前提が現実には持ちこたえられないことをAndroidとiOSの両方で、研究チームは実証。不正な充電器がユーザーを装って自律的にスマホのボタンをクリックしたり文字を入力したりする「入力イベント」を挿入し、データ接続を確立できてしまう攻撃手法を発見した。検証の結果、「モバイルプラットフォームのUSBセキュリティを巡る憂慮すべき状況」が浮き彫りになったとしている。

　チョイスジャッキング攻撃を試した結果、実験の対象とした大手6社を含む8社の端末全てで、ユーザーの写真や文書、アプリデータなどの情報にアクセスできたと研究チームは報告している。そのうち2社の端末については、ロック状態の端末からファイルを抽出できたという。

　研究チームは、問題を確認した全社に連絡を取っており、GoogleやApple、韓国Samsung、中国Xiaomiなどの各社が脆弱性と認識して対策を講じている。

　Appleは3月31日に公開した「iOS 18.4」と「iPadOS 18.4」でこの脆弱性（CVE-2025-24193）を修正。確認ボタンをクリックする際に暗証番号またはパスワードによるユーザー認証を必須とした。Googleも2024年11月にリリースした「AOSPバージョン15」でこの問題（CVE-2024-43085）に対処した。

　チョイスジャッキングに関する詳細は、米シアトルで8月に開かれるサイバーセキュリティ関する研究発表会「USENIXセキュリティシンポジウム」で発表される。