先日、FBIデンバー支局のTwitter が、公共施設にあるUSB充電設備は危険であり、「空港やホテル、商業施設などにある無料の充電ステーションを使わないように」と警告を行いました。理由としては、「悪意を持った攻撃者たちがこのような充電設備を使ってマルウェアや監視ソフトをデバイスにインストールする危険があるから」というもので、充電する場合は自分の充電器とUSBケーブルを持って行って、コンセントを使うよう呼び掛けていました。
「ジュースジャッキング」?
この攻撃手法自体は珍しいものではありません。これは「ジュースジャッキング」と呼ばれるもので、USBポートにマルウェアを仕込まれたり、データを盗まれたりする攻撃のことです。
スマートフォンはメモリのように扱うことも可能なためで、USB充電器のケーブル経由で、外部から他人が操作することもできます。スマートフォン側の脆弱性やソフトウェアの設定ミスなどで、何かを勝手に実行するコマンドを受け入れてしまう可能性もあります。
ただ、この状況を利用者(消費者)側で改善するのは難しい面もあります。
想像してみてください。あなたのスマートフォンの充電が3%しかないなか、目の前に公共のUSB充電器がある状況を・・・。いくら外部から操作される危険性があると言っても、ほとんどの人が充電する方を選ぶのではないでしょうか。そういった視点から考えると、スマートフォン製造者およびアプリケーション提供者の側に、脆弱性や設定ミスが起きないよう指導することや、一般市民にOSの継続的なアップデートを求める方が現実的なのです。ベンダー側が常にセキュリティ情報に目を光らせ、アップデートを提供することも重要です。
もちろん、それぞれのスマートフォン、OS、ソフトウェアには、ゼロデイの脆弱性も存在します。
ただ、誰がどのスマートフォンを使っているかということは、巷を歩いている攻撃者が1つ1つ確認できるわけはありません。また、どのような人をターゲティングするかということも、公共の場の充電器から行うのは難しいと思います。設置場所によって、例えば空港のビジネスラウンジなど、多少の絞り込みはできます。しかし、犯罪者側の視点に立つと、物理的な場所に行く必要もありますし、攻撃できる1回あたりの台数も少なく、非常に効率が悪いものとなります。物理的に目撃されるリスクもあります。
弊社としては、公共の場にあるUSB充電器を使ったものよりも、不正なWiFiアクセスポイントを通じた攻撃の方が、発生する可能性は高いのではないかと考えています。偽のWiFiは設置もたやすく、暗号化されていないサービスやウェブサイト (例:携帯電話のPOP 3メールクライアント)の認証情報を外部に公開する可能性があります。ほとんどのアプリはTLSで暗号化されているものの、他人に閲覧内容を盗み見される可能性もあります。また、共有WiFiでは、パッチを適用しないとデバイスが直接攻撃される危険性もあります。
また直接関連することではないですが、公共充電器にスマートフォンを放置し、目を離していた時に、ハッカーが物理的に手に入れた場合は、いろいろと情報詐取の方法が出てきます。一般的な話として、デバイスへのパブリックアクセスを許可するかどうかには、常に注意を払うことも重要になります。
結論として、フィッシングメールやSMSなどを使った他の攻撃と比較すると、サイバー犯罪者がこの方法で一般市民を攻撃することは非常にコストとリスクが高いものとなります。そのため、一般市民の方にとってはあまり影響がないのではないかと考えています。一方で、スマートフォンのソフトウェアベンダーからの情報には留意し、ベンダーおよびホワイトハッカーによって発見された問題の修正のため、ソフトウェアおよびOSを最新のものに更新しておくことは常に心がける必要があります。
アクロニスについて
アクロニスは2003年にシンガポールで設立されたスイス企業です。アクロニスは、世界15か所のオフィスと50カ国以上で拠点を擁しており、Acronis Cyber Protectソリューションは150カ国に26言語で提供され、2万社を超えるサービスプロバイダーで利用されており75万社を超える企業を保護しています。