公共の充電ステーション経由でスマホをハッキングする「ジュースジャッキング」の警告はナンセンスだという指摘

2023年4月、アメリカ連邦捜査局(FBI)や連邦通信委員会(FCC)が公共の充電ステーションを利用してスマートフォンやPCをハッキングする「ジュースジャッキング」について警告を発し、さまざまなメディアがジュースジャッキングの危険性について取り上げました。ところが、テクノロジー系メディアのArs Technicaで上級セキュリティ編集者を務めるDan Goodin氏は、実際にスマートフォンへのジュースジャッキングが行われる可能性は非常に低く、世間の反応は過剰なものだと指摘しています。

Those scary warnings of juice jacking in airports and hotels? They’re mostly nonsense | Ars Technica
https://arstechnica.com/information-technology/2023/05/fearmongering-over-public-charging-stations-needs-to-stop-heres-why/

ジュースジャッキングとは、悪意のある人物が駅やカフェなどに備えられているスマートフォンやPC用の充電ポートに細工を行い、デバイスとポートを接続するケーブルを経由してデバイスにハッキングを仕掛けるという攻撃手法です。

一般に、USBやLightningの端子には充電用端子とデータ通信用端子が存在しており、充電用ポートに接続した際は充電用の端子のみが使用される仕組みとなっています。しかし、悪意のある攻撃者によって細工された充電ステーションやケーブルを使用した場合、充電用の端子だけでなくデータ通信用の端子も使用され、マルウェアがデバイスに送信される危険性があるとのこと。

「無料の公共スマホ充電ステーションを使うな」とFBIが警告 - GIGAZINE

デバイスの充電がなくなって公共の充電ステーションを利用した経験がある人は多いため、「充電ステーション経由でハッキングが仕掛けられる可能性がある」という警告は、「自分も攻撃の標的になるかもしれない」という懸念を大勢にもたらしました。

しかし、FBIやFCCといった政府機関がジュースジャッキングについて警告する一方で、サイバーセキュリティ専門家の多くは、ジュースジャッキングの危険性について人々に警告していません。この理由は、これまでのところジュースジャッキングを利用したハッキング攻撃が公式に報告されておらず、ハッカーがジュースジャッキングを実行することは非常に困難だからだそうです。

自ら攻撃的なハッキングツールを設計しているセキュリティ研究者のMike Grover氏は、「大ざっぱに言えば、公共の場で実際に起きている実例を誰も指摘できない場合、それは一般の人々に対して強調する価値はありません」と述べ、ジュースジャッキングは非常に限定的な状況でのみ実行可能な手法だと指摘しています。その上でGrover氏は、公共の充電ステーションに関して想定すべきリスクとしては、電源の品質やコネクタの破損の方がより重要度が高いと主張しました。

ジュースジャッキングは2011年に提唱された攻撃概念であり、その後の数年間でセキュリティ研究者らはジュースジャッキングの実証実験に成功し、ジュースジャッキングが真剣に受け止められるべき懸念であることを浮き彫りにしました。しかし、OSの開発者側も手をこまねいていたわけではなく、継続的にOSのセキュリティを強化してきた結果、ジュースジャッキングは最新のOSではほとんど実行不可能な手法になっているとのこと。

Goodin氏は、「過去5年間で最新バージョンのiOSまたはAndroidを実行しているデバイスに対し、実行可能なジュースジャッキングを実証した人は誰もいません。Appleの担当者は、ジュースジャッキングが野放しになっていると認識していませんし(Googleの担当者はコメントに応じてくれませんでした)、セキュリティ専門家の中にもこのような攻撃を知っている人はいませんでした。前述したように、ジュースジャッキングが実際に発生したという記録はありません」と述べています。

もちろん、実際の記録がないからといってジュースジャッキングが不可能だというわけではなく、一部の企業は法執行機関などに対し「スマートフォンに挿したケーブル経由でハッキングを仕掛け、データを抽出するなどの操作を行うデバイス」を販売しています。しかし、このデバイスは非常に高価で攻撃にはかなりの時間がかかるほか、まだパッチが適用されていないゼロデイ脆弱性を悪用する必要があるとのこと。

一般にゼロデイ脆弱性の情報は非常に高価であり、ケーブル経由でスマートフォンのデータを盗み取るといった重要なゼロデイ脆弱性は、入手するのに100万ドル(約1億3700万円)以上の報酬が必要だそうです。ハッカーにとって、空港でたまたまスマートフォンを充電した一般人を標的にするためにこれほどのコストを費やす意味はなく、あり得るのは特定の重要度が高いターゲットにハッキングを仕掛けるようなケースだろうと考えられます。

なお、USBケーブルに偽装したハッキングツールである「O.MG Cable」といった製品も販売されていますが、これらのハッキングツールは標的のデバイスに合わせて調整する必要があるため、不特定多数を標的にした日和見的な攻撃には適していないとのこと。

見た目はUSBケーブル、中身はハッキングツールの悪用厳禁ケーブル「O.MG Cable」がLightningに続きUSB Type-Cバージョンなども販売開始 - GIGAZINE

Goodin氏は、外出時にモバイルバッテリーやケーブルを持ち歩くのはオススメであるものの、バッテリーを家に忘れた場合は公共の充電ステーションを使用しても問題なく、ジュースジャッキングのような理論的にはあり得るものの現実的にはほぼあり得ないリスクを心配する必要はないと主張。「FCCやFBIが発表する警告の問題は、パスワードの脆弱性やセキュリティアップデートの未インストールといった、より大きなセキュリティ上の脅威から注意をそらしてしまうことです。不必要な不安や不便を与え、人々が安全性を確保することを諦めてしまう危険性があるのです」と述べました。