日本語 
English
Français
Deutsch
Español
Italiano
Português
한국어
Русский
空港やホテルでのジュースジャックに関する恐ろしい警告? それらはほとんどナンセンスです
ダン・グッディン - 2023 年 5 月 1 日午前 11:00 UTC
連邦当局、技術専門家、報道機関は、公共の充電ステーションに接続しただけで携帯電話がハッキングされる恐ろしいサイバー攻撃に注意するよう求めています。 「ジュースジャッキング」の脅威が知られるようになったこのような警告は、10年以上にわたって広まっていた。
しかし今月初め、FBIと連邦通信委員会が新たな根拠のない警告を発し、何百もの報道機関から不気味な響きのニュースが報道され、ジュースジャックの恐怖が新たな最高値に達した。 NPRは、この犯罪は「おそらく旅行者の増加により、さらに蔓延している」と報じた。 ワシントン・ポスト紙は、読み込まれたウェブページを10秒以内に特定できるという「重大なプライバシー上の危険」があると述べた。 CNNは、悪意のある充電器に接続するだけで「デバイスが感染する」と警告した。 また、フォーチュンの見出しは読者に「無料のUSB充電で銀行口座を使い果たさないように」と警告した。
ジュースジャッキングのシナリオは次のようになります。ハッカーが空港、ショッピングモール、またはホテルに機器を設置します。 この機器は通常の充電ステーションの外観と機能を模倣しており、電力が不足しているときに携帯電話を充電できるようになります。 ユーザーには気づかれずに、充電ステーションは充電コードの USB または Lightning コネクタを介してコマンドを密かに送信し、連絡先や電子メールを盗み、マルウェアをインストールし、その他あらゆる種類の不正行為を行います。
FCCは今月初め、「破損したUSBポートを介してインストールされたマルウェアは、デバイスをロックしたり、個人データやパスワードを加害者に直接エクスポートしたりする可能性がある」と警告した。 「犯罪者はその情報を利用してオンライン アカウントにアクセスしたり、他の悪者に販売したりする可能性があります。場合によっては、犯罪者が充電ステーションに意図的にケーブルを差し込んだままにすることもあります。感染したケーブルが販促品として配られたという報告さえあります。」 」
数日前、FBIのデンバー出張所は独自のジュースジャッキング警告を発し、その一部には「悪意のある者が公共のUSBポートを使用してマルウェアや監視ソフトウェアをデバイスに導入する方法を考え出した」と書かれていた。 ミシガン州のダナ・ネッセル司法長官も負けじと、ジュースジャックは「自分たちのものではないものを盗んで利益を得ることを可能にする、悪人たちが発見したまた一つの極悪非道な方法だ」と述べた。
政府の発表に反して、サイバーセキュリティ専門家の大多数は、国家規模のハッカーの標的にならない限り、ジュースジャッキングが脅威であるとは警告していません。 野外でジュースジャックが行われたという文書化された事例はありません。 最新の iPhone および Android デバイスでは、標準ケーブルで接続されたデバイスとファイルを交換する前に、ユーザーが明示的な警告をクリックしてスルーする必要があることが、この勧告から除外されています。
攻撃的なハッキングツールを設計し、大企業向けに攻撃的なハッキング研究を行っているとインタビューで語った。 「代わりに、それは標的を絞った状況でのみ実行可能であることを示しています。その危険にさらされている人々が、漠然とした警告よりも優れた防御策を持っていることを願っています。」
同氏はさらに、「公共の充電器の電圧を意図的に変更している人について聞いたことがあるが、それは愚かで悪意のあるものだ。公共の充電器に関して言えば、より大きなリスクは、ひどい電力品質とコネクタの損傷だと思う」と付け加えた。
iPhone や Android デバイスに接続されている場合、キーボード (またはキーボードを装ったデバイス) が悪意のある動作を行うコマンドを入力できるというエッジケースがあります。 ただし、これらの攻撃は、接続されているさまざまな電話モデルごとにカスタマイズする必要があります。さらに、このような手法には重大な制限があり、ジュース ジャッキングには非現実的です。
これらの特殊なケースとその欠点については、後ほど詳しく説明します。 端的に言えば、過去 5 年間、最新バージョンの iOS または Android を実行しているデバイスに対する実行可能なジュース ジャッキング攻撃を実証した人は一人もいませんでした。 Apple の代表者はそのような攻撃が実際に発生していることを認識していません (Google の代表者は多数のコメント要請に応じませんでした)。また、そのような攻撃を知っているセキュリティ専門家も見つかりませんでした。 そして、先に述べたように、ジュースジャックが野生で発生したという文書化された事例はありません。