最近、空港や駅、車内にUSB充電ポートが設置されており、スマホのバッテリー切れを心配しないで済むようになってきました。しかし、USBポートの本来の役割は充電ではなくデータ通信です。この機能を悪用して、スマホなどモバイル機器のデータを盗まれたり、改竄されるリスクがあります。こうした手口をジュースジャッキング(Juice Jacking)攻撃と呼びます。
USB 3.0
まず、スマホやパソコンで普及している USB 3.0 のポートを見てみましょう。
全部で9つのピンがあり、このうちNo.1,4,7が充電用で、それ以外がデータ通信用です。スマホのデータをパソコンにバックアップしたり、逆にパソコンでダウンロードしたアプリをスマホに送ることができるのは、このデータ通信用ピンがあるからです。
全部で9つのピンがあり、このうちNo.1,4,7が充電用で、それ以外がデータ通信用です。スマホのデータをパソコンにバックアップしたり、逆にパソコンでダウンロードしたアプリをスマホに送ることができるのは、このデータ通信用ピンがあるからです。
Android
ところが、Android 4.0以前のスマホでは、初期状態でUSBケーブルを接続すると、スマホ内の全てのデータがアクセス可能になります。もし、USB充電ポートの先に悪意をもった第三者がいたり、プログラムが仕掛けられていたりすると、スマホ内のデータを盗まれてしまいます。
最新のAndroidであっても、Dropboxなどのファイル共有アプリがインストールされていたり、MTP(メディア転送プロトコル)が設定されていたりすると、データを盗まれる可能性があります。
さらに、UMS(リムーバブルディスクモード)に設定していると、USBポート側からマルウェアを送り込まれるリスクがあります。
とくに、USB充電ポートに差し込まれているUSBケーブルは絶対に使ってはいけません。そのケーブルは空港や鉄道会社が用意したものではなく、悪意のある第三者がマルウェアを歯根だけ-ブルかもしれないからです。
最新のAndroidであっても、Dropboxなどのファイル共有アプリがインストールされていたり、MTP(メディア転送プロトコル)が設定されていたりすると、データを盗まれる可能性があります。
さらに、UMS(リムーバブルディスクモード)に設定していると、USBポート側からマルウェアを送り込まれるリスクがあります。
とくに、USB充電ポートに差し込まれているUSBケーブルは絶対に使ってはいけません。そのケーブルは空港や鉄道会社が用意したものではなく、悪意のある第三者がマルウェアを歯根だけ-ブルかもしれないからです。
iPhone
iPhone も Android と同様のリスクがありますが、iOS 11.4.1(2018年7月リリース)から、端末ロックから1時間以上経過すると、Lightningケーブルによる通信ができなくなりました(iPhone側の設定で無効にできます)。
対策
最も簡単で確実な対策は、スマホなどのUSBデバイスの電源を完全OFFにして、USB充電ポートに接続することです。
また、USBポートを使ってモバイルバッテリーを充電するのも有効です。マルウェア等はモバイルバッテリーに感染しないので。
どうしても電源ON状態で充電をしたい場合は、ACアダプタを持ち歩くといいでしょう。AC電源にはデータ通信線はありませんので。
データ通信ピンを除いた充電線用のケーブルが市販されていますが、スマホの機種によっては、充電されない場合があるようです。
また、USBポートを使ってモバイルバッテリーを充電するのも有効です。マルウェア等はモバイルバッテリーに感染しないので。
どうしても電源ON状態で充電をしたい場合は、ACアダプタを持ち歩くといいでしょう。AC電源にはデータ通信線はありませんので。
データ通信ピンを除いた充電線用のケーブルが市販されていますが、スマホの機種によっては、充電されない場合があるようです。
参考サイト
- 空港の無料USB充電は危険? サイバー犯罪に警鐘も実は被害報告なし:ITmedia,2023年5月16日
- データ転送用と充電用の違いとは?USBケーブルの基本と注意点:HULFT
- USB経由のスマートフォン充電に潜む危険:カスペルスキー公式ブログ
- 空港のUSB充電ポートは極めて危険、セキュリティ専門家が警告:Forbes JAPAN
(この項おわり)