Juice Jacking / ジュースジャッキング
2023年4月6日のFBIが発信したツイートにより、「ジュースジャッキング」というワードが全世界に拡散されました。
ジュースジャッキングは、悪意のある攻撃者が公共の場所にある USB 充電ポートを悪用して、ユーザーのスマートフォンやタブレットにマルウェアをインストールしたり、データを盗んだりする攻撃とされています。
被害事例?
ジュースジャッキングについては、NTTも報告書を出しています。
ところが、SLATE News によるとジュースジャッキングはもはや脅威ではないとしています。
今回の騒動は、2019年にFBIが発した情報の焼き直しを2023年にツイートしたことで、新たな脅威が発生したと誤解されたとしています。
FCCは、「ジュースジャッキングは概念実証として技術的に可能であることが実証されているが、FCCはその発生が確認された例を把握していない。」としています。
FBI のツイッター
(FBI Twitter 文字起こし)
Avoid using free charging stations in airports, hotels or shopping centers. Bad actors have figured out ways to use public USB ports to introduce malware and monitoring software onto devices. Carry your own charger and USB cord and use an electrical outlet instead.
(DeepL)
空港、ホテル、ショッピングセンターの無料充電ステーションを利用しないこと。悪質な業者は、公共のUSBポートを使ってマルウェアや監視ソフトウェアをデバイスに侵入させる方法を編み出しています。自分の充電器とUSBコードを持ち歩き、代わりにコンセントを使いましょう。
Avoid using free charging stations in airports, hotels or shopping centers. Bad actors have figured out ways to use public USB ports to introduce malware and monitoring software onto devices. Carry your own charger and USB cord and use an electrical outlet instead. pic.twitter.com/9T62SYen9T
— FBI Denver (@FBIDenver) April 6, 2023
NTTサイバーセキュリティレポート
NTTサイバーセキュリティレポート(2023.04) からジュースジャッキング部分の一部を引用します。NTTらしくキッチリと調査されておりました。
「ジュースジャッキング (Juice-Jacking) 攻撃」とは
【増加する USB 充電ポート】
これまでは、長期の出張/旅行の際にスマホやタブレット端末を充電する場合、自身で充電器やモバイルバッテリーを持ち歩くことが一般的であった。しかし近年は、施設のグレードや国/地域にもよるが、空港やホテル、カフェなどで、スマホやタブレット端末の充電が誰でも無料でできる USB 充電ポートの設置が増加しつつあり、USB ケーブルを一本携行するだけで、旅先の様々な場所で気軽に充電することができる。
出力の問題から USB 充電ポートでは PC に充電することはできないが、今後、PC に対応した USB 充電ポートも発売されるため34、スマホやタブレット等だけでなく PC の充電も一般化していくと考えられる。
【攻撃手法】
攻撃者は、公共の場で提供されている USB 充電ポートの中に小型チップを埋め込む等の細工を施す。何も知らないユーザーがこのポートに接続してしまうと、充電中にデータの窃取が行われる他、監視ソフトウェアやマルウェアをインストールされる可能性がある。このような USB 充電ポートに罠を張るサイバー攻撃を「ジュースジャッキング攻撃」と呼ぶ。
普段セキュリティを意識しているユーザーであれば、PC 等に自分のあずかり知らない USB メモリを接続する事に対しては抵抗感が大きい。これに比べると、スマホやタブレット端末を USB 充電ポートに接続することは多くのユーザーが行っており、抵抗感は小さい。これは、USB メモリと異なり、USB 充電ポートに接続しても、充電と同時にデータ通信も行われるとは想定しづらいためと考えられる。
O.MG アダプター
O.MG アダプターの見た目は単なる USB 変換プラグだが、コネクター部分に小型のチップが埋め込まれている。この小型チップによって、接続した端末は Wi-Fi のアクセスポイントとなり、攻撃者は端末の利用者に気づかれることなく外部から無線 LAN で端末内にアクセスできるようになる。
USB 充電ポート内に、このようなハッキングのためのケーブルやパーツを組み込むことは容易であり、攻撃者によっては数分で作業を完成させることができるといわれている。
ジュースジャッキング攻撃への対策
ジュースジャッキング攻撃の予防として、USB 充電ポートの利用を極力避けることが挙げられる。または、市販されている充電専用の USB ケーブルを携帯して USB 充電ポート接続時に使用すれば、データ通信が行われず攻撃が成立しない。
FBIのツイートは2019年の情報だった
FBIは、新鮮なニュースがないため、古い警告を再投稿した。
- 2023年4月、FBIが公衆電話の充電器の危険性を警告したというニュースが、多くのメディアで取り上げられ、人々に不安を煽った。
- しかし、実際には、FBIが警告したのは2019年のことで、新たな脅威は存在しない。
- FCCは、多くの問い合わせを受けて、注意喚起を更新したが、これは当局が新たな犯罪組織を摘発したわけではなく、単なる誤解だった。
- 実際のところ、ジュースジャッキングは、特定の個人を標的とする場合を除き、それほど脅威ではない。
- 新しいAndroidやiPhoneは、USBポートに接続するときに、データ共有と充電のみのオプションをユーザーに提示するため、ジュースジャッキングによるデータの盗難は難しくなっている。
- FBIは、新鮮なニュースがないため、古い警告を再投稿した。
まとめ
このサイトを検索 | Search this site
0 コメント