ロサンゼルスがジュースジャッキングをするマルウェアを警告したが事例はゼロ

ロサンゼルスの州検察官が「公共のUSB充電ポイントは危険なマルウェアがあることもあるので旅行者は利用を避けるように」と警告している。この忠告を読むと、そこらにあるUSBポートはどれも「ユーザーのデータを盗むために誰かが自分のスマートフォンをつなぐのを待っている」と思うかもしれない。それはジュースジャッキング(Juice Jacking)と呼ばれる攻撃で、警告の声明文によると犯人は充電ステーションやそこに挿入したまま残したケーブルにマルウェアをロードして、何も知らないユーザーのスマートフォンやそのほかの電子機器に感染させる。マルウェアはデバイスをロックしたり、データをエクスポートしたり、パスワードを直接犯人の手に渡したりするのだそうだ。

しかしロサンゼルス郡の主任検察官事務所によると、検察の記録にはジュースジャッキングは1件もないが、イーストコーストには知られている事案があるという。それはどこか、と聞いたら、そのスポークスパーソンは知らなかった。そもそもなぜこんな警報を出したのかと問うと「それは今行っている詐欺教育キャンペーンの一環だ」と応えた。

ますます疑問が深まる。でもなぜ?セキュリティ研究家のKevin Beaumont(ケビン・ボーモント)氏のツイートによると「そんなものがマルウェアの伝播に利用されたという証拠を見たことは一度もない」という。実際、見たと言う人はほとんどいないだろう。私にメッセージをくれた何人かのセキュリティ研究者は「そういう攻撃の概念実証を見たことはあるが、実際に犯行に使われた例は知らない」と言っている。

ジュースジャッキングという脅威は実在するが、もっと容易なやり方がいろいろあるのだから、こんなものすごく複雑で不完全な方法を使って誰かを攻撃するなんてありえないのではないか。また、今ではこのような攻撃を防ぐ機能のあるスマートフォンが多いから、ジュースジャッキング攻撃を仕掛けるなら非常に高度な罠が必要だろう。

でも、スマートフォンをつないだら秘密を盗まれるという話そのものに無理はない。それが可能であるというデモも、これまでにたくさんあった。ZDNetのジュースジャッキング特集記事には、FBIが全国に送った警報の例が載っている。それは、セキュリティ研究家のSamy Kamkar(サミー・カムカー)氏が作ったArduinoベースのインプラントはUSB充電器に似ていて、空気の流れを感知して押されたキーを読み取るというもの。また、この夏あるセキュリティ研究家が作ったiPhoneの充電器のケーブルのクローンは、近くにいるハッカーが脆弱性のあるコンピューターにコマンドを実行させることができた。

ロサンゼルス当局は、充電ステーションを使わずコンセントを使うこと、そして自分のケーブルを持ち歩くことを勧めている。健全なアドバイスだが、でもそれは、あなたのデバイスとデータを安全に保つためにすべき多くのことのひとつにすぎない。

関連記事:Wi-Fiモジュールを埋め込んだiPhoneの充電ケーブルでPCをハッキングできることを証明

[原文へ]

(翻訳:iwatani、a.k.a. hiwa

投稿者:

TechCrunch Japan

TechCrunchは2005年にシリコンバレーでスタートし、スタートアップ企業の紹介やインターネットの新しいプロダクトのレビュー、そして業界の重要なニュースを扱うテクノロジーメディアとして成長してきました。現在、米国を始め、欧州、アジア地域のテクノロジー業界の話題をカバーしています。そして、米国では2010年9月に世界的なオンラインメディア企業のAOLの傘下となりその運営が続けられています。 日本では2006年6月から翻訳版となるTechCrunch Japanが産声を上げてスタートしています。その後、日本でのオリジナル記事の投稿やイベントなどを開催しています。なお、TechCrunch Japanも2011年4月1日より米国と同様に米AOLの日本法人AOLオンライン・ジャパンにより運営されています。