公共の充電ポートを使うとスマホが乗っ取られるという「ジュースジャッキング」は本当に起こりうるのか？

「ジュースジャッキング」とは、カフェや列車内などにある公共の充電ポートに悪意のある人物が細工し、スマートフォンやノートPCと充電ポートを接続するケーブルを通じてハッキングを仕掛ける手口のことです。たびたびアメリカ連邦捜査局(FBI)や連邦通信委員会(FCC)が警告を発することで話題となるジュースジャッキングですが、本当にジュースジャッキングが実行される懸念があるのかどうか、それともジュースジャッキングは都市伝説に過ぎないのかについて、海外メディアのVoxがまとめています。

Is it safe to charge my phone at a public charging station? - Vox
https://www.vox.com/technology/2023/9/1/23850809/public-phone-charging-station-juice-jacking-airport-battery-fbi

外出先で持っているデバイスの充電が切れそうになり、カフェやファストフード店の充電ポートを利用した経験がある人は多いはず。ところが、そんな充電ポートに細工することでケーブル経由でデバイスをハッキングし、データが盗まれたりマルウェアを仕込まれたりする危険性があると、FBIやFCCは繰り返し警告しています。

「無料の公共スマホ充電ステーションを使うな」とFBIが警告 - GIGAZINE

公共の充電ポートを悪用したデバイスへの攻撃はジュースジャッキングと呼ばれますが、実際にジュースジャッキングが起きる可能性は非常に低いとVoxは指摘しています。これまでにジュースジャッキングが発生した事例は、概念実証のデモンストレーション以外で確認されていないとのこと。

ジュースジャッキングが最初に提唱されたのは、2011年に開催されたサイバーセキュリティカンファレンス・DEFCONでのことでした。セキュリティ専門家のブライアン・マーカス氏とロバート・ローリー氏は、USBによる充電が潜在的な脆弱(ぜいじゃく)性であることを実証するため、DEFCONの会場に充電ステーションを設置し、参加者がデバイスの充電を始める人数を調べたとのこと。

その結果、DEFCONの参加者はほとんどが経験豊富なハッカーやサイバーセキュリティ専門家であるにもかかわらず、360人以上が無警戒にデバイスの充電を行ったことがわかりました。マーカス氏はVoxのインタビューに対し、世界中の何百人ものトッププロフェッショナルがだまされたことを考慮すれば、平均的な一般人はなおさら簡単にだまされるだろうと主張しています。

ジュースジャッキングは、1つのUSBポートで充電とデータ転送が可能なことに着目した攻撃です。しかし、2011年の時点では多くのデバイスでケーブル接続と同時に充電とデータ転送が可能になっていましたが、記事作成時点で使われているほとんどのデバイスはケーブル接続時にデータ交換を許可するかどうかユーザーに尋ねます。そのため、たとえ悪意のある人物が公衆のUSB充電ポートに細工をしたとしても、ユーザー側が許可しなければケーブル経由でデータを交換できないとのこと。

DEFCONで行われたデモンストレーション以降、たびたびジュースジャッキングの警告が話題となるため、中にはジュースジャッキングが実際に起きたと勘違いしている人もいます。2023年にFBIが警告を出した際も同様に、多くの地方自治体やメディアはこの警告を真剣に受け止めました。

警告を出したミシガン州司法長官事務所の広報担当者は、Voxの取材に対して「ここミシガン州ではジュースジャッキングに関する報告は受けていませんが、被害者は自分の電話がどのルートで侵害されたのか知らないだけかもしれません」とコメント。また、FBIデンバー支局の広報担当者であるダナ・プラムポフ氏は、FBIの警告は「旅行中のアメリカ国民が安全かつ勤勉であり続けることを、人々に思い出させるためのものでした」と述べています。

近年ではデバイスのバッテリー持ちも以前と比べて格段に向上しており、モバイルバッテリーを持ち歩く人も増えたため、ジュースジャッキングが現実的な脅威となる可能性はかなり低いとVoxは報じています。それでもマーカス氏は、一見すると普通の充電ステーションを人通りが多い場所に設置し、被害者がケーブルで自身のデバイスを接続するのを待つジュースジャッキングは、依然として起こりうるリスクだと主張。マーカス氏はVoxに対し、個人的には空港の充電ポートが特に危険かもしれないと述べました。

Voxはジュースジャッキングが発生する可能性は低いものの、今後も決して起こらないとは言い切れないとして、ジュースジャッキングを警戒する人に以下のアドバイスを送っています。

・充電ステーションを使用しないこと。
・万が一バッテリーがなくなった時に備えて、外部バッテリーを持ち歩くこと。
・どうしても公衆の場所でデバイスを充電したい場合、USBポートではなく電気のコンセントから充電すること。
・USBケーブルに細工される可能性もあるため、充電時は信頼できる自分のUSBケーブルを使用すること。
・充電時にはケーブル経由のデータ転送を技術的にシャットダウンする「USBケーブル用のコンドーム(USBデータブロッカー)」を使用すること。