「街の充電スポットでウイルス感染」はウソ？ ホント？：709th Lap

公衆のUSB充電ポートはウイルスの侵入口になるから危険だと警察機関が警鐘を鳴らす一方で、「その警告はデタラメだ」と反論するセキュリティ専門家が現れた。

[キーマンズネット]

　最近のモバイルデバイスの多くは、内蔵バッテリーの充電にUSBケーブルを利用する。デバイス側の端子には幾つかの種類があるが、Type-CやMicro USB Type-Bなどがある。「iPhone」に採用されているLightningはもはや少数派になりつつある。

　最近は、ホテルや空港、カフェなど多くの場所で電源コンセントと併せてUSB充電ポートが設置されるようになった。公衆のUSB充電ポートを気軽に使う人達に対して、警察機関は「ウイルスの侵入口だから危険だ」と警鐘を鳴らす。これに対して、あるセキュリティ専門家は「その警告はデタラメだ」と反論する。結局、どっちがホントなの？

　電源コンセントからUSBケーブルを介して充電するには変換アダプターが必要だ。USB充電ポートがあれば変換アダプターを持ち歩かなくても済むのだから、外出先でバッテリー切れという憂き目に遭うことも少なくなる。

　ご存じの通り、多くのUSB充電ポートはUSB Type-Aポートと同一の形状をしている。デバイスに備え付けのUSBポートと異なるのは「充電機能のみ」という点だけだ。つまりUSBケーブルを介してデータをやりとりすることはできない。

　FBIは公衆のUSB充電ポートは危険だと警鐘を鳴らし、公式Twitterで「できる限り公共の場にあるUSB充電ポートを使わないように」とツイートした。これをニュースメディアが取り上げたことで話が大きくなった。

　FBIが警告するのは「ジュースジャッキング」と呼ばれるサイバー攻撃だ。これは、公共の場にあるUSB充電ポートを悪用したサイバー攻撃者が、充電中のデバイスに対してマルウェアを送り込む攻撃だ。

　マルウェアを送り込むことでユーザーのキー入力を監視してパスワードや個人情報を窃取したり、ユーザーの位置情報を把握したり、重要なデータを抜き取ることもできる。また、感染したデバイスをbotネットの一部として悪用することもあるようだ。そうした事態を懸念して、FBIは「公共の場にあるUSB充電ポートを使うな」と警告した。

　本来、USB充電ポートには充電機能しかなく、マルウェアを送り込めるはずのないのだが、サイバー攻撃者は特殊な機材をUSBポートに取り付けることで攻撃を可能にするというのだから恐ろしい。

　このFBIの警告に対して、Tech系ニュースサイト『Ars Technica』の記事（2023年5月1日掲載）で「FBIの警告はデタラメだ」と掲載された。セキュリティ専門家の多くは「そこまで心配しなくていい」と考えているという。

　というのも、ジュースジャッキングによるハッキング手法が発見されたのは2011年のことで、既に多くのデバイスではOSレベルの対策が済んでいたことが大きな理由だ。実際に「ジュースジャッキングの被害に遭った」という報告は聞かれていないという。

　その記事で、ハッキングツールを開発する専門家のマイク・グローバー氏は、ジュースジャッキングがごく限定的な環境でしか実行できない、困難なハッキング手法であると主張する。グローバー氏によれば、実際にジュースジャッキングを可能にするキットが販売されているものの非常に高価であり、攻撃までに時間がかかる。OSのゼロデイ脆弱（ぜいじゃく）性を悪用しなければ攻撃は成功しないという。

　つまり、あちこちのUSB充電ポートにそれらを仕掛けることは困難であり、USBケーブルを接続するだけのデバイスを即座に攻撃することはかなりハードルが高いということだ。ごく普通のUSBケーブルを装ったジュースジャッキングを可能にするケーブルも存在するが、接続先のデバイスに合わせたチューニングが必要で、不特定多数に使えるようなものではない。

　このことからグローバー氏は「FBIの警告は的外れだ」と指摘するとともに「こういう大げさな警告によって、本来なら注視されるべきセキュリティアップデートやパスワードの管理といった重要なセキュリティ対策からユーザーが目をそらすことになりかねない」と逆に警鐘を鳴らす。

　ジュースジャッキングの被害報告がないとはいえ、もしかしたら被害に遭ったことに気付いていない人がいる可能性も考えられる。またグローバー氏の言う通り、理論的には可能だが現実的にはほぼ不可能なため、被害報告がないのかもしれない。FBIと専門家、どちらの言い分が正しいかは今の時点では不明だ。しかし、不安であれば外出の際に変換アダプターもしくはモバイルバッテリーを持ち歩く必要があるだろう。

上司X：　FBIが「公共の場でUSB充電ポートを使うべきじゃない」と警告したことがちょっとした話題になった、という話だよ。

ブラックピット：　USBの充電ポート、確かにそこかしこに設置されるようになりましたけどねえ。別にキケンだとは思ったことはないですけど。

上司X：　ジュースジャッキングについては、昔から注意喚起されていたぜ？

ブラックピット：　2011年とされていますね。ちょうど充電用途として使うことが増えてきたころですかね。

上司X：　確かにその頃なら、ジュースジャッキングのハッキング手法は大きな脅威だったかもしれない。だけどデバイスのメーカーだってただ手をこまねいているわけじゃないからな。

ブラックピット：　対策は十分されているハズ、ということですね。だからこそ注意喚起こそあれジュースジャッキングの被害は聞こえてこない、と。確かにデータ通信可能なケーブルをつないだ時に、スマホは何かしらメッセージ表示しますしねえ。

上司X：　そういう理屈で専門家は「恐るるに足らず」と言っているわけだが……。ハッキングできる可能性がゼロではないからこそ、昔から注意喚起されているわけでな。

ブラックピット：　それにしてもFBIもTwitterでそんな警告する時代なんですね。広く注意喚起するならその方がいいんでしょう、と感心しました。

上司X：　また妙なところに感心してるな、キミは……。ともあれ、専門家がそこまで心配する必要はないと言っているにしても、リスクはゼロではないのが今回のジュースジャッキングのポイントだな。キミも俺も油断することなく、自衛できるならしておくべきじゃないかな。

ブラックピット（本名非公開）

年齢：36歳（独身）
所属：某企業SE（入社6年目）

昔レーサーに憧れ、夢見ていたが断念した経歴を持つ（中学生の時にゲームセンターのレーシングゲームで全国1位を取り、なんとなく自分ならイケる気がしてしまった）。愛車は黒のスカイライン。憧れはGTR。車とF1観戦が趣味。笑いはもっぱらシュールなネタが好き。

上司X（本名なぜか非公開）

年齢：46歳
所属：某企業システム部長（かなりのITベテラン）

中学生のときに秋葉原のBit-INN（ビットイン）で見たTK-80に魅せられITの世界に入る。以来ITひと筋。もともと車が趣味だったが、ブラックピットの影響で、つい最近F1にはまる。愛車はGTR（でも中古らしい）。人懐っこく、面倒見が良い性格。