ロサンゼルスがジュースジャッキングをするマルウェアを警告したが事例はゼロ

ロサンゼルスの州検察官が「公共のUSB充電ポイントは危険なマルウェアがあることもあるので旅行者は利用を避けるように」と警告している。この忠告を読むと、そこらにあるUSBポートはどれも「ユーザーのデータを盗むために誰かが自分のスマートフォンをつなぐのを待っている」と思うかもしれない。それはジュースジャッキング(Juice Jacking)と呼ばれる攻撃で、警告の声明文によると犯人は充電ステーションやそこに挿入したまま残したケーブルにマルウェアをロードして、何も知らないユーザーのスマートフォンやそのほかの電子機器に感染させる。マルウェアはデバイスをロックしたり、データをエクスポートしたり、パスワードを直接犯人の手に渡したりするのだそうだ。

しかしロサンゼルス郡の主任検察官事務所によると、検察の記録にはジュースジャッキングは1件もないが、イーストコーストには知られている事案があるという。それはどこか、と聞いたら、そのスポークスパーソンは知らなかった。そもそもなぜこんな警報を出したのかと問うと「それは今行っている詐欺教育キャンペーンの一環だ」と応えた。

ますます疑問が深まる。でもなぜ?セキュリティ研究家のKevin Beaumont(ケビン・ボーモント)氏のツイートによると「そんなものがマルウェアの伝播に利用されたという証拠を見たことは一度もない」という。実際、見たと言う人はほとんどいないだろう。私にメッセージをくれた何人かのセキュリティ研究者は「そういう攻撃の概念実証を見たことはあるが、実際に犯行に使われた例は知らない」と言っている。

ジュースジャッキングという脅威は実在するが、もっと容易なやり方がいろいろあるのだから、こんなものすごく複雑で不完全な方法を使って誰かを攻撃するなんてありえないのではないか。また、今ではこのような攻撃を防ぐ機能のあるスマートフォンが多いから、ジュースジャッキング攻撃を仕掛けるなら非常に高度な罠が必要だろう。

でも、スマートフォンをつないだら秘密を盗まれるという話そのものに無理はない。それが可能であるというデモも、これまでにたくさんあった。ZDNetのジュースジャッキング特集記事には、FBIが全国に送った警報の例が載っている。それは、セキュリティ研究家のSamy Kamkar(サミー・カムカー)氏が作ったArduinoベースのインプラントはUSB充電器に似ていて、空気の流れを感知して押されたキーを読み取るというもの。また、この夏あるセキュリティ研究家が作ったiPhoneの充電器のケーブルのクローンは、近くにいるハッカーが脆弱性のあるコンピューターにコマンドを実行させることができた。

ロサンゼルス当局は、充電ステーションを使わずコンセントを使うこと、そして自分のケーブルを持ち歩くことを勧めている。健全なアドバイスだが、でもそれは、あなたのデバイスとデータを安全に保つためにすべき多くのことのひとつにすぎない。

関連記事:Wi-Fiモジュールを埋め込んだiPhoneの充電ケーブルでPCをハッキングできることを証明

[原文へ]

(翻訳:iwatani、a.k.a. hiwa

あらゆるArduino機器用汎用無線通信モジュールFlutter, レンジ1000m強+メッシュネットワーク内蔵でKickstarterに登場

このKickstarterプロジェクトが成功したら、Arduinoを使ったデバイス間の長距離通信が、これまでよりも安く容易にできるようになるだろう。この、Arduino用のワイヤレス開発プラットホームFlutterは、通信可能な距離が半マイルあまりで、WiFiでは通信が難しいようなアウトドア活動に向いている。

想定される用途は、ホームオートメーション、クァドコプターのような飛行ロボット、環境監視システム、無線で制御する自動車などだ。要するにある程度の長距離で通信を必要とするArduinoデバイスなら、何でもよい。レンジは1000メートル強だがメッシュネットワーキングの機能が組み込まれる予定なので、複数のデバイスによってこのレンジを超えた距離をカバーすることも可能だ。

Kickstarterで8万ドルの目標を達成すると商用の生産が可能になり、Flutterのボードがペアで売られることになる。予価は20ドル、アンテナ付きのプロ仕様が30ドルだ。プロセッサはARM系のAtmel SAM3sを使っている。

Flutter Basicのボードには内蔵アンテナがあり、部品を裏表両側に載せているのでサイズが小さい。電源とプログラミングのためにマイクロUSBがあり、LED、ボタン、デジタルとアナログ用のI/Oポートもある。Proボードには電池充電器や、外付けアンテナがあり、ボタンの数もメモリもBasicよりは多い。

Flutterの製作者は、ボードのほかに簡単にプラグ&プレイできるキットもいろいろ企画している。たとえば家庭用基地局はEthernetやWiFiのルータに接続できる。スマートフォンと通信できるためのBluetoothシールドもあるので、将来的にはFlutterのモバイルアプリも可能だ。

単価が20~30ドルだから、かなり大規模な利用プロジェクトも比較的安上がりに実装できるだろう。

Kickstarterで資金を提供した者には、最低で25ドルのBasicボードから、最高475ドルまでのいろんなオプションが提供される。そのメニューは、Flutter Basic 5、Flutter Pro 5、RC Shield 4、Shield shield 2、Flutter Network Shield 1、Bluetooth Shield 1、Starter Kit 1、USB 10、Breakouts 12などだ。

暗号チップを内蔵していて、通信はすべて暗号化される。長距離の通信がどこかで傍受されても安全だ。

ファームウェアがすべてオープンソースであるだけでなく、設計図面も回路図も材料部品仕様書もすべて公開される。それは、現状をベースとしての改良やフォークを誰もが容易にできるためだ。ワイヤレス開発のためのチュートリアルも提供されるから、ユーザレベルでの今後の多様な開発が期待される。

…という相当意欲的なプロジェクトだが、まだまだ今後やることは多い。商用化に向けてのデザイン、ワイヤレスハードウェアがFCCの認可を取る、サポートのためのソフトやモバイルアプリ(iOSとAndroid)を作る、などなど。でも資金募集の方は、あと27日ある段階ですでに目標額の半分に近いから、明らかにメーカーたちコミュニティの広いニーズにフィットしたのだ。これだけの支持があれば、成功間違いなしだろう。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa))