空港の無料USB充電は危険? サイバー犯罪に警鐘も実は被害報告なし 「マスコミらが煽りすぎ」との指摘:この頃、セキュリティ界隈で
空港やホテルにある無料USB充電ポートを使っただけでスマートフォンがマルウェアに感染する――そんなサイバー犯罪の手口について、FBIやマスコミが改めて注意を呼びかけている。しかし実はこの攻撃が実際に仕掛けられた事案は確認されていないという。
空港やホテルのロビーにある無料USB充電ポートを使っただけでスマートフォンがマルウェアに感染し、個人情報やパスワードを盗まれてしまう――「ジュースジャッキング」と呼ばれるそんなサイバー犯罪の手口について、米連邦通信委員会(FCC)や米連邦捜査局(FBI)が改めて注意を呼びかけた。
しかし実はこの攻撃が実際に仕掛けられた事案は確認されておらず、今更の警告は不必要な不安をあおるだけだという意見もある。
ジュースジャッキングを巡ってFBIは4月「空港やホテル、ショッピングセンターなどにある無料の充電ステーションは使わないように。悪い連中が公共のUSBポートを利用してマルウェアや監視ソフトウェアをデバイスに仕込む方法を見いだした」とツイートした。
FCCも消費者向けの勧告を更新し、USB充電経由でパスワードなどの情報が盗まれれば、被害者のオンラインアカウントへの不正アクセスに利用されたり、別の犯罪集団に転売されたりする恐れもあると警告した。
ジュースジャッキングのコンセプトは実証済みで、技術的に可能であることが証明されているとFCCは解説する。ただし、実際にこの手口が使われた事例はFCCでは確認していないという。
マスコミが煽りすぎ? 具体例などは確認できず
それでもマスコミは、Washington PostやCNN、Fortuneなどの大手も含めてこの問題を一斉に報じた。一方でニュースサイト「Ars Technica」のように、これを「根拠のないサイバーセキュリティ警告」と位置付け「こうした警告や報道は、脆弱なパスワードの使用やセキュリティアップデートを怠るといった、もっと重大な問題から目をそらさせ、不必要な不安を生じさせる」と分析したメディアもある。
FCCの注意喚起はもともと2019年に掲載され、21年に更新されたもの。今回、FBIのツイートが注目を浴びたことを受けて再度更新されていた。
ジュースジャッキングという用語は2011年にセキュリティ専門ジャーナリストのブラアン・クレブス氏が使い始めた造語だという。同年のハッカーカンファレンスDEFCONで、モバイル機器をコンピュータに接続すれば多くの場合、データを同期してしまうという現実を周知させるため、研究者がモバイル充電ステーションを設置して注目を集めたことがきっかけだった。
クレブスさんによれば、AppleやGoogleはその後、デバイスをUSB充電ケーブルでコンピュータに接続しても自動的に同期されないよう、ハードウェアやソフトウェアの動作を変更。データを転送する前にまず、そのコンピュータを信頼するかどうか、ユーザーに確認を促すようになった。
11年のDEFCONでジュースジャッキングの手口を披露した研究者のブライアン・マーカスさんは、公共の場で実際にジュースジャッキング目的のポートが見つかった事案は確認していないと言い「FBIが今になってなぜ改めて注意喚起したのかは分からない」とクレブスさんにコメントしている。
ファクトチェックサイト「Snopes」はジュースジャッキングの深刻度を検証した記事を掲載し「USBポート経由で情報を盗んだりマルウェアをインストールしたりすることは技術的には可能だが、そうした行為が広く行われているという証拠はない」と指摘。
「FBIもFCCも、この脅威がどの程度広まっているかに関する数字は示していない。改めて警告を出すことが適切だと思った理由も説明していない」と伝えた。
ジュースジャッキングのリスクは10年前よりも向上
ただしクレブスさんによると、ジュースジャッキング攻撃に利用できる製品は安価で簡単に入手できるという。例えばAppleの充電ケーブルや一般的なUSB充電ケーブルのように見える侵入テスト用のハッキングツール「OMGケーブル」は180ドルで入手できるという。
攻撃者がその気になれば、この攻撃に使える機器は大幅に安く調達できるようになったとマーカスさんは言い「恐らくリスクは10年前よりも高くなっていると思う」とコメントしている。
FCCは被害を防ぐための対策として、自分の充電器とUSBケーブルを持参して電源コンセントで充電するか、予備のバッテリーを持ち歩くよう勧告。もしもUSBポートに接続して「データを共有」「このコンピュータを信頼する」「充電のみ」の選択肢が表示されたら、必ず「充電のみ」を選択するよう促している。
関連記事
- 充電ケーブルからスマホをハッキング 充電中にゴーストタッチで画面を強制操作 中国とドイツチームが発表
中国のZhejiang UniversityとドイツのTechnical University of Darmstadtによる研究チームは、静電容量式タッチパネルに対して、充電ケーブル経由で信号を注入するゴーストタッチ攻撃を提案した研究報告を発表した。 - 相次ぐ“USBメモリ紛失問題”の救世主? 「スマホかざしてロック解除」できるUSBメモリを試してみた
今となってはレガシーツールといえるかもしれないが、なかなかなくならないものにUSBメモリがある。とはいえUSBメモリには、過去数々の情報漏えい問題の原因となってきた「黒歴史」がある。 - 始まるガバメントクラウド移行、自治体に求められるセキュリティ対策は
政府やデジタル庁が主導する「ガバメントクラウド」。すでに一部自治体が移行・利用を進めており、今後拡大する見込みだ。一方で、移行に伴う現場の混乱も予想される。特に不安が生まれるのはセキュリティだ。 - ネット接続していないPCをスマホでハッキング 壁越しでも2m離れた場所から無線で攻撃
イスラエルのBen-Gurion University of the Negevに所属する研究者は、ネットに接続していないコンピュータ(エアギャップPC)を離れた場所から無線でハッキングするサイバー攻撃を提案した研究報告を発表した。 - Wi-Fiルーターの設定確認ってどこを見ればいいの? 警視庁の注意喚起で困惑の声 バッファローに聞いた
警視庁は家庭用Wi-Fiルーターの不正利用について、「見覚えのない設定変更がなされていないか定期確認」を推奨。しかし、Twitter上では「設定なんていちいち覚えてられない」など困惑する声も。バッファローに具体的な対策を聞いた
Copyright © ITmedia, Inc. All Rights Reserved.