街中のUSB充電口が怖い!?
ホテルのUSB充電口からマルウェアに侵入される!?
ASCII.jpのYouTubeチャンネル特番からスピンアウトした「思わずヒヤッと/ホッとした、ネットにまつわる怖い話」を紹介する連載第29回。
今回は「都市伝説かもしれないジュースジャッキング攻撃にヒヤリ」というお話です。
都市伝説と化したサイバー攻撃に(勝手に)ヒヤッとしてた話
4年ぶりのお盆休み旅行を満喫しました。驚いたのはホテルやカフェにUSB充電口があったこと。コロナ禍で引きこもっていた私の知らない間に、世の中便利になったなーと思いながら帰宅しました。
さっそく自宅周りにUSB充電できるカフェはないか検索していたら、世の中には「ジュースジャッキング」というサイバー攻撃があると知って驚愕。『私が使ったあのUSB充電口ってもしかして……』と疑心暗鬼になりつつ調べていたら、今度は「実際に攻撃に遭った人はいない」という話を発見してしまい二度驚愕。
私は都市伝説を本気で怖がっていた残念な人なのでしょうか?
セキュリティ専門家のマル秘実験で一躍脚光を浴びる
今回のヒヤリ案件は、サイバー攻撃の1つである「ジュースジャッキング」にまつわるお話です。この攻撃は、カフェやホテル、空港や列車内などにある公共のUSB充電ポートを悪意ある第三者が不正改造し、そこに接続したスマートフォンやノートPCをハッキングする、という手口です。
2023年4月にFBI(アメリカ連邦捜査局)のデンバー支局がX(旧Twitter)にて、ジュースジャッキング攻撃によるハッキングおよびデータの窃取に注意せよ、と投稿したことで、あらためて注目されました。
しかしその一方で、このFBIの警告を「ナンセンス」と切り捨てる専門家もたくさんいて、FBIの警告直後に一部メディアは否定する記事を掲載しています。そうした記事では、ジュースジャッキング攻撃は「都市伝説」とされています。
そもそも、このジュースジャッキング攻撃は、2011年に開催されたサイバーセキュリティカンファレンス・DEFCONにて、セキュリティ専門家のBrian Markus氏とRobert Rowley氏によって提唱されました。
2人はこっそり、DEFCONの会場に設置されたUSB電源ポートの使われ方の統計を取ったのだそうです。すると、DEFCONに参加するようなエンジニアや研究者たちの多く――具体的には360人以上――が無防備にもそれを利用したのだそうです。
なんでも、実験対象のUSB電源ポートに接続すると、ポートに設けられた画面に「こういう公共充電ステーションを信用してはいけませんよ!」的なことが表示されたとのこと。
この様子を見た2人は「これはいかん」とばかりに、“その辺にあるUSB充電ポートに無防備にスマホやノートPCを接続することで、データを盗まれる可能性がある!”と、その危険性を説いたのです。
ただし、その時点で実際にジュースジャッキング攻撃が可能な仕組みは存在しませんでした。
週刊アスキーの最新情報を購読しよう
