重要なポイント
ジュース ジャッキングは、公共の充電ポートを利用して攻撃を開始する USB ベースのエクスプロイトです。デバイスを充電し続ける、特別なデータ ブロッキング ケーブルを使用する、その他の手段を使用することで、この脅威を回避できます。
携帯電話のバッテリーが再び低下し、自宅の充電器から数マイル離れたところにあります。あなたが座っている空港ターミナルカウンターのすぐ近くに、公共の充電キオスクか、おそらく USB 充電ポートがあります。しかし、公共のポートで携帯電話を充電するのは安全なのでしょうか?
ジュースジャッキングとは一体何ですか?
ジュースジャックは数年ごとにニュースで取り上げられますが、最近 FBIがその危険性について人々に警告した ときにも同様でした。そして、それが正確に何なのか、心配する必要があるのか疑問に思うかもしれません。
iPhone であっても Android スマートフォンであっても、両方のデバイスには共通点があります。電源とデータ ストリームは同じケーブルを通過します。一見すると大したことないようですが、悪意のあるユーザーがハードウェアまたはソフトウェアのエクスプロイトを使用して充電プロセス中に携帯電話にアクセスするための独自の攻撃ベクトルが作成されます。
この攻撃手法は「ジュース ジャッキング」として知られています。この用語は、セキュリティ ジャーナリストのブライアン クレブス氏が、デフコン セキュリティ カンファレンスで侵害された充電キオスクでの エクスプロイトのデモンストレーションを見 て、2011 年にこの概念について執筆中に作成した造語です。
2011 年以来、セキュリティ研究者は、既知の脆弱性を実証し、ジュース ジャッキングに対する一般の意識を高めるために、以降の Defcon セキュリティ カンファレンスで侵害された新しいキオスクを設置してきました。
長年にわたって、USB ベースの充電をターゲットとし、ジュース ジャッキング攻撃の範疇に入るエクスプロイトが複数確認されてきました。 2012 年、セキュリティ研究者のカイル・オズボーンは、ロックされていないテザリングされた携帯電話を攻撃し、Google 認証キーを含むデータを盗む ジュース ジャッキング攻撃を実証しました 。
1 年後の 2013 年、ジョージア工科大学の大学院生は 、USB 充電ケーブルを介して iOS デバイスをハイジャック できる概念実証攻撃を実証しました。この攻撃は iOS には検出されず、攻撃者はデバイスに完全にアクセスできるようになりました。
2014 年、 BadUSB 攻撃 を実証した研究者らは、Android スマートフォンに感染して BadUSB ペイロードとして機能させ、後でユーザーのパーソナル コンピュータや企業ネットワークにアクセスすることが、いかにもっともらしい攻撃ベクトルであるかを強調しました。
2016 年には、Defcon で別の概念実証攻撃が公開され、侵害された充電器を制御している人物が スクリーン ミラーのエクスプロイトを介して iOS および Android デバイスの画面を監視できる ようになりました。そのため、侵害されたステーションで携帯電話を充電している限り、攻撃者は肩越しに見ているかのように、あなたの行動をすべて監視することができます。
2018 年には、さらに懸念されるエクスプロイトがシマンテックの研究者によって紹介され ました。彼らが発見したエクスプロイトはジュースジャッキングから始まりましたが、侵害された充電器から切断した後も継続しました。彼らは、この攻撃ベクトルを「TrustJacking」と呼んでいます。これは、iOS デバイスと iTunes の間のハンドシェイクを悪用し、悪意のある攻撃者がデバイスのプラグが抜かれた後でも Wi-Fi 経由で iOS デバイスへの接続を維持できるためです。
ジュースジャッキングについて心配する必要がありますか?
How-To Geek では、私たちは決して警戒心を煽るような人間ではなく、常に率直に情報を提供します。現在、ジュースジャッキングは理論上の脅威であり、実際の攻撃は報告されていません。セキュリティ研究者がエクスプロイトを発見し、メーカーがパッチを当て、洗浄し、それを繰り返します。
地元の空港のキオスクにある USB 充電ポートが、実際にデータを吸い上げたりマルウェアを注入したりするコンピューターの秘密の前線である可能性は非常に低いです。ただし、これは、肩をすくめて、スマートフォンやタブレットを未知のデバイスに接続することで生じる非常に現実的なセキュリティ リスクをすぐに忘れるべきだという意味ではありません。
何年も前、Firefox 拡張機能 Firesheep が セキュリティ界隈で話題になったとき、それはまさに、ユーザーがローカル環境で他のユーザーの Web サービス ユーザー セッションをハイジャックできるようにする単純なブラウザ拡張機能という、ほとんど理論上ではありますが、依然として非常に現実的な脅威でした。大きな変化をもたらしたWi-Fiノード。
エンド ユーザーはブラウジング セッションのセキュリティをより真剣に考えるようになり ( 自宅のインターネット接続を介したトンネリング や リモート VPN への接続 などの手法を使用)、大手インターネット企業はセキュリティに大きな変更を加えました (ログインだけでなくブラウザ セッション全体を暗号化するなど)。
まさにこの方法で、ユーザーにジュース ジャックの脅威を認識させることで、人々がジュース ジャックに遭う可能性が減り、企業に対するセキュリティ慣行の改善への圧力が高まります。
それで、この問題に対する私たちの見解はどうでしょうか?エクスプロイトについて知る最悪のタイミングは、エクスプロイトの標的になった後です。エクスプロイトの標的にならないようにする最善の方法は、リスクを最小限に抑えるベスト プラクティスに取り組むことです。ジュースジャッキングは、テキストメッセージ銀行詐欺のように広範囲に及ぶ(そして簡単に展開できる)問題ではないかもしれませんが、潜在的なリスクを完全に無視する必要があるという意味ではありません。
ジュースジャッキング攻撃を避ける方法
ジュースジャックの試みで負け側に陥ることを避ける最善の方法は、いくつかの簡単な方法を使用して、携帯電話が公共の充電ステーションと「裸の」やりとりを決してしないようにすることです。
まず、そもそも安全でないポートへの曝露を回避するためのベスト プラクティスをいくつか見ていき、次に、充電ステーションまたはポートを使用する際の問題を回避するためのヒントをいくつか見てみましょう。
携帯電話を最新の状態に保つ
他のヒントを紹介する前に、ジュース ジャッキング (および世に出ている他のほぼすべてのスマートフォンのセキュリティ問題) に関する携帯電話のセキュリティに関する最善のヒントは、携帯電話を常に最新の状態に保つことです。
上で述べたように、ジュース ジャッキング エクスプロイトは現実のものですが、実際に展開されて成功したという報告はありません。セキュリティ研究者がエクスプロイトを披露すると、パッチが適用されます。携帯電話を更新していない場合、エクスプロイト パッチは入手できません。
デバイスのバッテリーを常に満タンにしておく
最も簡単な予防策は、モバイルデバイスを常に充電しておくことです。携帯電話を積極的に使用していないとき、または机に座って仕事をしているとき以外は、自宅やオフィスで携帯電話を充電する習慣をつけましょう。
旅行中や外出中に赤い 3% バッテリー バーを見つめる回数は少なければ少ないほど良いでしょう。 iPhone または Android デバイスのバッテリー管理のヒント を使用して、次の充電までの時間を延長します。
充電器を持参してください
携帯電話の充電器は 非常に小型かつ軽量であるため、接続されている USB ケーブルの重量をほとんど上回ることはありません。また、充電器技術の進歩により、小型化しても充電速度と電力が犠牲になることはありません。窒化ガリウム (GaN) 充電器は小型ですが強力なので、仕事用バッグや旅行用バッグに 30 W 充電器を追加しても、それを感じさせません。
USB C GaN 充電器 30W、Anker 511 充電器
バッグの中に 30W の急速充電器を入れているのに、汚い公共の充電ポートを必要とする人がいるでしょうか?
そこで、そこに充電器を放り込んで自分の携帯電話を充電し、データ ポートの制御を維持します。 (そして、かなり前に交換した携帯電話の古い USB 充電器をまだ使用している場合は、 間違いなくアップグレードする時期が来ています 。)
ポータブル充電器を持ち歩く
最近では、ユーザーが交換できるバッテリーを備えたデバイスは多くありません。そのため、空港の充電ポートに頼らずにデバイスを使い続けたい場合 (または個人の充電器を接続するのに適した場所が見つからない場合)、次のものが必要になります。 ポータブル充電器 。
Anker PowerCore Slim 10000 ポータブル充電器
この充電器は 10,000mAh の容量、最適化された充電のための PowerIQ/VoltageBoost、および超スリムなプロファイルを備えています。
のような安価でコンパクトなもので十分です。 10,000 mAh のバッテリー寿命により、電池が切れるまでに平均的なスマートフォンを 2 ~ 3 回完全に充電できます。空港や飛行機の中で携帯電話をいじるのに十分な量です。
電源専用のケーブルまたはアダプターを使用する
理想的には、完全に制御できないデバイスに携帯電話を物理的に接続しないでください。ただし、自分が制御していないデバイスの充電ポートを使用する場合は、ケーブルまたは USB アダプタを使用してデータ接続を中断し、充電接続のみを利用できるようにするのが良い応急処置です。
データブロッキング USB アダプター (非公式には「 USB コンドーム 」とも呼ばれます) は、既存のケーブルを使用でき、携帯電話と侵害された充電ポートの間のデータ接続を停止するため、最も便利な方法です。 。
PortaPow USB データ ブロッカー
このシンプルなデータ ブロッキング ポート アダプタは、充電ケーブルを介して電力のみ (マルウェアではなく!) が送信されるようにします。
ニッチ市場で最もよく知られている企業の 1 つが PortaPow です。 、 アダプター 、および あります。公共の充電ポートのほとんどが依然として USB-A であることを考えると、ニーズに応じて USB-A – USB-A または C アダプターを購入することをお勧めします。
電源専用のケーブルまたはアダプターの使用には大きな欠点が 1 つあることに注意してください。 USB 高速充電規格では、データ接続を使用してデバイスを識別し、充電速度をネゴシエートします。データなし?ネゴシエーションはなく、充電速度はデフォルトの基本 USB 速度になります。何もしないよりはマシですが、普段自宅で急速充電器を使用している場合は、通常よりも遅くなる可能性があります。
携帯電話をロックまたは電源を切る
公共の充電ポートを使用してより安全にプレイしたい場合は、充電中に携帯電話を使用しないでください。電話機をロックしたままにするか、できれば電源を切ってください。
不明なポートの使用を完全に回避する方がはるかに良いですが、使用する場合は、電話機をロックまたは電源オフのままにしておくと、接続の受け入れに応じて応答する単純なエクスプロイト (または、電話機のロックが解除されているか電源が入っている場合にのみ利用可能なソフトウェア エクスプロイト) を防ぐことができます。の上)。
ワイヤレス充電を使用する
お使いの携帯電話がワイヤレス充電をサポートしており、カウンターや肘掛けにワイヤレス充電パッドが慎重に埋め込まれている場所にいる場合は、幸運です。
ワイヤレス充電は本質的にデータフリーであり、空港のスターバックスのテーブルにあるワイヤレス充電ロゴの上に携帯電話を落としてもリスクはありません。
結局のところ、侵害されたモバイル デバイスに対する最善の防御策は、認識することです。デバイスを充電したままにし、オペレーティング システムが提供するセキュリティ機能を有効にし(安全ではなく、あらゆるセキュリティ システムが悪用される可能性があることを承知の上で)、添付ファイルを開かないように賢明に携帯電話を未知の充電ステーションやコンピュータに接続しないようにします。不明な差出人から。
