ジュースジャッキングとは？どのように影響を与えるのか？回避方法は？

空港や公共の場所にあるUSB充電ステーションは、電話や他の電子機器のバッテリーが切れたときに魅力的に見えます。そう思いませんか？飛行機を降りて空港の外に出たとき、タクシーを予約したいのに、電話のバッテリーが切れていたと想像してみてください。この状況は、タクシーを予約するだけでなく、愛する人と連絡を取り合い、自分の居場所を共有するためにも電話が必要なので、厄介なものになる可能性があります。

そのような状況では、デバイスを充電するオプションを提供している場所があれば、気にしないでしょう。もしそれが素晴らしいオプションだと思っていたり、過去に選んだことがあるなら、注意してください。あなたはジュースジャッキングの被害者になっているか、なる可能性があります。これはすべての場所に当てはまるわけではなく、追加のバッテリーのためにデバイスを接続することを気にしないかもしれませんが、リスクが伴います。このガイドでは、ジュースジャッキングとは何か、どのように機能するのか、そしてそれが本当なのか、単なるメディアの誇張なのかを議論します。

ジュースジャッキングとは？

ジュースジャッキングは、攻撃者が公共の充電ステーションやUSBポートを使用して、デバイスからデータを盗んだり、マルウェアをインストールしたりするサイバー犯罪攻撃の用語です。特に、スマートフォンをUSBケーブルを介してUSB充電ポートに接続すると、充電が始まり、データ転送の準備も整います。攻撃者はこの現象を利用してデータを盗むことができます。

データを盗むだけでなく、ジュースジャッキングを使用して、攻撃者はキーストロークを監視するマルウェアアプリをインストールすることもできます。つまり、あなたのログインID、パスワード、ソーシャルメディアプロファイル、銀行口座などに関連する他のセキュリティ資格情報が明らかになります。

ブライアン・クレブスは、最初にこのような攻撃を報告した人物であり、「ジュースジャッキング」という用語を作りました。「ジュース」という言葉は、デバイスに電力を供給するために使用される電気を意味し、「ジャッキング」は単にあなたの電話、タブレット、ラップトップ、または他の電子デバイスをハイジャックすることを意味します。電子デバイスの使用が日常生活で急増する中、公共の充電ステーションは一般的になっています。FBIデンバーも2023年にジュースジャッキングについてツイートしました。

空港、ホテル、ショッピングセンターの無料充電ステーションの使用を避けてください。悪意のある行為者は、公共のUSBポートを使用してデバイスにマルウェアや監視ソフトウェアを導入する方法を見つけました。自分の充電器とUSBケーブルを持ち歩き、代わりに電源コンセントを使用してください。 pic.twitter.com/9T62SYen9T — FBIデンバー (@FBIDenver) 2023年4月6日

旅行者として、私は世界のいくつかの素晴らしい国に滞在し、探索する特権を持っています。ヨーロッパ、イギリス、特に中国にいる間、私は複数の公共充電ステーションに出会いましたが、少なくとも私には怪しく見えました（私は技術の最新情報を常に把握しています）が、他の人々はデバイスに無料で追加の電力を得ることに満足しているようでした。

公共の充電ステーションは、ショッピングモール、コーヒーショップ、鉄道駅、空港、基本的に多くの人が集まる場所にあります。これらの場所は、ハイジャッカーが公共の充電ステーションを改ざんし、データを盗むのに最適なスポットです。無邪気な人々は、追加のバッテリーのために重要なデータとの交換が行われていることを知らずにいます。

ジュースジャッキングはどのように機能するのか？

ジュースジャッキングは一般的に、USB接続を使用してユーザーのデータを盗むことを含みます。攻撃者は充電ステーションにマルウェアを感染させたり、公共のステーションに改ざんされたUSBケーブルを置いたりします。ユーザーがスマートフォンや他の電子機器を充電するために接続すると、彼らは詐欺に遭い、データが盗まれます。

ジュースジャッキングの成功は、データ転送と充電の両方を可能にするデュアルファンクションUSBケーブルにあります。スマートフォンメーカーは、USBケーブルを介してデバイスを接続するときにデータ転送を確認するプロンプトを表示するなど、ジュースジャッキング攻撃を軽減するためのさまざまな技術を実装しています。悪意のあるアプリは、電話をロックし、個人データを抽出し、オンラインアカウントへの不正アクセスを提供することさえできます。

ジュースジャッキングにはさまざまなタイプがあります：

• データ盗難：データ盗難では、ジュースジャッキングを介して攻撃者があなたのデータを盗もうとします。これは完全に自動化された操作であり、スマートフォンをUSBケーブルに接続するとすぐに始まります。私たちがスマートフォンに保存している重要なデータ、例えばクレジットカード情報、銀行口座、ソーシャルメディアアカウントなどが危険にさらされる可能性があります。
• マルウェア感染：この場合、攻撃者はあなたの電話にマルウェアやウイルスをアップロードし、データ損失、画面ロック、デバイスの遅延、他のマルウェアのインストール、データ盗難などの問題を引き起こします。
• マルチデバイスジュースジャッキング：これはマルウェアやウイルス感染に似ていますが、この場合の主な目的は大量感染です。特に、あなたがデバイスを充電するために使用するUSBには、他のUSB充電ポイントを感染させるウイルスが仕込まれています。
• ジュースジャッキングの無効化：このタイプのジュースジャッキングでは、マルウェアがUSB充電ステーションを介してターゲットの電話に侵入すると、電話を無効にし、基本的にユーザーをロックアウトし、デバイスの完全な制御を攻撃者に与えます。

ジュースジャッキングは本物か、それとも単なるメディアの誇張か？

特に、ジュースジャッキングはCSI: Cyber. シーズン1: エピソード9「L0M1S」のエピソードの中心的な焦点でした。このエピソードは2015年4月に放送されました。連邦通信委員会もジュースジャッキングに関する記事を公開し、どのように回避できるかを説明しています。しかし、私たちの調査によると、ジュースジャッキングに関する信頼できる報告はこれまでに報告されておらず、誰もそれを経験したことはありません。

実際、ArsTechnicaの報告によると、空港やホテルでのジュースジャッキングに関する警告は全くのナンセンスです。別の報告も、ジュースジャッキング現象は単なる虚偽であり、誰かがジュースジャックされたという報告はないことを確認しています。

ジュースジャックされないための予防策は？

ジュースジャッキングの報告はないものの、公共の充電ステーションの使用を避けることが推奨されます。以下に、あなたの生活で不必要なトラブルを避けるためのいくつかのヒントをリストアップしました：

• モバイルバッテリーを持ち歩く：私たちは日常生活で多くの電子機器を使用しています。特に旅行中は、スマートフォンやタブレットが飛行機が離陸するまでの時間をつぶすための仲間です。そのようなシナリオでは、常にモバイルバッテリーを持ち歩くことを検討してください。また、出かける前にモバイルバッテリーを充電するのを忘れないでください。確信が持てない場合は、飛行機にモバイルバッテリーを持って行けるかどうかを説明したガイドをチェックしてください。
• 自分の充電器を持ち歩く：公共の充電ステーションの使用を避け、ソケットを見つけた場合は、常に自分のパワーブリックと充電ケーブルを使用してスマートフォンを充電していることを確認してください。
• データ転送オプションを無効にする：電話がそのオプションを提供する場合、自動データ転送オプションを無効にし、「電話を充電する」オプションを選択してください。
• プロンプトを探す：充電ポートに接続すると、電話は「このコンピュータを信頼しますか？」というプロンプトを表示し、他のデバイスに接続したことを理解します。そのような場合は、すぐに許可を拒否し、デバイスをUSBポートから取り外してください。
• デバイスをオフにする：公共の充電ステーションや公共のソケットを使用して電話を充電する際にできる最善のことは、単にデバイスをオフにすることです。

最後の考え

真実かどうかにかかわらず、公共の充電ステーションや公共のWi-Fiを使用する際には、リスクを冒さないか、少なくとも注意を払うべきです。公共のWi-Fiを使用する必要がある場合は、情報がハッキングされるのを避けるために、ガイドにリストされているVPNのいずれかを利用するべきです。

モバイルバッテリーを使用することに加えて、常に持ち歩いてデバイスを充電するための別の代替手段は、ジュースジャックディフェンダーと呼ばれるデバイスを使用することです。その名の通り、ジュースジャックディフェンダーは充電/データケーブルに接続し、デバイスの充電ポートを介したデータの偶発的な転送を防ぎます。基本的に、アダプターが電力の流れを許可する一方で、データ転送ピン間の接続を制限することによって機能します。つまり、デバイスを充電することは許可されますが、デバイスへのデータの流れはブロックされます。これは完全に安全な解決策ではありませんが、公共の充電キオスクを使用することを決定したときに一定のレベルの保護を提供します。

この記事は、2020年1月にヤシュ・ワテによって最初に書かれ、2024年4月にサガル・ナレッシュによって更新されました。