FBIがスマホ充電ステーションを警告「悪意ある攻撃の可能性」。注意すべきポイントは

米連邦捜査局（FBI）が、空港などの施設に設置された無料の充電ステーションを利用することで、悪意のある攻撃を受ける可能性があると警告を行った。

FBI デンバー支局の公式Twitterアカウントが、4月6日に「空港、ホテル、ショッピングセンターなどにある無料の充電ステーションを利用しないようにしましょう」とツイートし、「悪質な業者は、公共のUSBポートを使って端末にマルウェアや監視ソフトを導入する方法を見つけ出しています」と指摘した。

こうした状況から、充電ステーションを使わず「充電器とUSBコードは自分で持ち歩き、代わりにコンセントを使いましょう」と案内されている。

Avoid using free charging stations in airports, hotels or shopping centers. Bad actors have figured out ways to use public USB ports to introduce malware and monitoring software onto devices. Carry your own charger and USB cord and use an electrical outlet instead. pic.twitter.com/9T62SYen9T

— FBI Denver (@FBIDenver) April 6, 2023

この手法は「ジュースジャッキング」と呼ばれるもので、USBポートに接続された機器のデータを盗んだりマルウェアを仕込むといった攻撃として知られている。

これを受け、データ保護・サイバーセキュリティといったソリューションを提供するスイス企業アクロニスのCISO（最高情報セキュリティ責任者）であるKevin Reed氏が、本日5月1日にブログを公開。FBIが警告するような攻撃方法は、犯罪者側にとって非常にコストとリスクが高いものであり、「一般市民の方にとってはあまり影響がないのではないか」とコメント。一方で、留意しておくべきポイントもあると述べている。

Kevin氏は、それぞれのスマートフォンやOS、ソフトウェアには脆弱性があるとしつつ、「誰がどのようなスマートフォンを使っているかを1つ1つ攻撃者が確認することや、どのような人をターゲティングするかを公共の場の充電器から行うのは難しい」といった点から、「公共の場にあるUSB充電器を使ったものよりも、不正なWiFiアクセスポイントを通じた攻撃の方が、発生する可能性は高い」と説明する。

その理由としては、偽のWiFiは設置もたやすく、暗号化されていないサービスやウェブサイトの認証情報を外部に公開する可能性があること、ほとんどのアプリはTLSで暗号化されているが他人に閲覧内容を盗み見される可能性があること、共有WiFiではパッチを適用しないとデバイスが直接攻撃される危険性があることなどが挙げられている。

ただしジュースジャッキングを気にしなくていいということではなく、スマートフォン製造者およびアプリケーション提供者の側には「脆弱性や設定ミスが起きないよう指導すること」、ベンダー側は「常にセキュリティ情報に目を光らせ、アップデートを提供すること」が重要と指摘。さらにユーザー側にも「スマートフォンのソフトウェアベンダーからの情報には留意し、ベンダーおよびホワイトハッカーによって発見された問題の修正のため、ソフトウェアおよびOSを最新のものに更新しておくこと」を常に心がける必要があるとコメントしている。