ジュースジャッキング攻撃とは？その仕組みとリスク、対策を解説

ジュースジャッキングとは、公共の充電スポットに設置されている「USBポート」や「USBケーブル」を悪用してデバイスからデータを盗んだり、デバイスにマルウェアをインストールしたりするサイバー攻撃のことで、ショッピングセンターや空港、ホテル、カフェなど、不特定多数がスマートフォンを充電するために利用できるUSB充電スポットであれば、どこでも遭遇する可能性があります。

元々、ジュースジャッキングという言葉は、2011年にセキュリテイジャーナリストであるブライアン・クレブス氏によって提唱された攻撃概念です。このジュースジャッキング攻撃によって悪意のあるハッカーは、ユーザーのパスワードやクレジットカード情報、住所、名前、その他にもさまざまなデータを盗むことができます。

サイバー犯罪者達は、ジュースジャッキング攻撃を行うために、スマートフォンにマルウェアをインストールする目的でUSBポートまたは充電ケーブルを改造します。ユーザーがそれらにスマートフォンを接続して充電しはじめると、デバイスにマルウェアがインストールされ、キーストロークを追跡するキーロガーや勝手に広告を出し続けるアドウェア、ボットと呼ばれるマルウェアがネットワークを形成したボットネットなどを勝手に追加されてしまい、一度感染してしまうと非常に厄介です。

ジュースジャッキング攻撃は危険と見なされており、連邦捜査局（FBI）は公式Twitterで消費者に警告を発しています。「悪意のある人々は、公共のUSBポートを利用してマルウェアや監視ソフトウェアをデバイスに侵入させる方法を考案しています」とFBIはツイートし、移動中に充電する際には自分の充電器とUSBケーブルを使用し、電源コンセントから充電するよう呼びかけています。

Avoid using free charging stations in airports, hotels or shopping centers. Bad actors have figured out ways to use public USB ports to introduce malware and monitoring software onto devices. Carry your own charger and USB cord and use an electrical outlet instead. pic.twitter.com/9T62SYen9T

— FBI Denver (@FBIDenver) April 6, 2023

ここではジュースジャッキング攻撃の仕組みについて詳しく説明します。ジュースジャッキングは、サイバー犯罪者がデバイスが公共の充電スポットに接続する際の脆弱性を狙って悪用し、USBポートやUSBケーブルのコネクタ（接続端子）に小型の専用部品を細工することで、マルウェアを埋め込むことができます。Wi-FiとBluetoothを繋ぐ専用機器であるWi-Fiモジュールを埋め込むことで遠隔操作が可能になり、データを盗み取ることができるようになります。これらは一見、普通のUSBポートやケーブルと見た目が同じなので、見分けがつきません。

また、USBポートの用途は単なる充電用の電源ソケットだけではありません。ノートパソコンには複数のUSBポートがありますが、その一つにスマートフォンを接続して充電したり、デバイス間でデータを転送することも可能です。悪意のあるハッカーは、公共の充電スポットでこのUSB接続機能を利用してデバイスに侵入し、個人データを盗み出すのです。

充電スポットを通して行われるほとんどの攻撃は、AndroidやiOSのスマホなどのモバイル機器をターゲットにしています。中でも古いバージョンのAndroidは、ジュースジャッキングの影響を受けやすいと言われているので、使用している人はスマホの乗っ取りなどに注意しましょう。

ジュースジャッキング攻撃にはいくつか種類が存在し、攻撃方法もそれぞれ違いがあります。ここでは4つの主要なジュースジャッキング攻撃を紹介します。

データの盗難

外出先でスマートフォンの充電がなくなり、カフェやショッピングモールなどでUSBポートを使って充電するということはよくあると思います。しかし、充電している間にサイバー犯罪者があなたのスマートフォンからデータを盗もうとするので注意が必要です。

通常、USBポートで充電中にスマートフォンからデータを盗むという過程は完全に自動で行われます。なので、近くに不審な人物が潜んでいて、あなたの個人データを自分のデバイスに転送する機会を探っているなどという可能性はおそらくないでしょう。

サイバー犯罪者は、インターネット上の文書や画像などの情報を定期的に取得し、自動的にデータベース化するプログラムであるクローラーを使って、個人を特定できる情報（PII）や銀行口座やパスワード情報を見つけ出すために、まずあなたのデバイスを検索します。

また、危険なアプリを使用し、直接あるいはMacやWindowsのパソコンを経由するなどして、あなたのスマートフォンの中の全てのデータを別のスマートフォンに複製することもできます。データの複製後、サイバー犯罪者は被害者になりすまして脅して金銭を要求してくるなど、あらゆる方法で危害を加えようとしてきます。

マルウェアのインストール

サイバー犯罪者はジュースジャッキングを利用し、USBポートやUSBケーブルに接続されたデバイスにマルウェアやウイルス（アドウェア、ランサムウェア、スパイウェア、トロイの木馬など）をインストールしようと試みてきます。

サイバー犯罪者は、それぞれのマルウェアに合わせてさまざまな犯罪に利用することができます。たとえば、ランサムウェアは身代金を要求するためにファイルを暗号化する可能性があり、スパイウェアはサイバー犯罪者が長期にわたってユーザーの行動を監視し、追跡することが可能です。

また、サイバー犯罪者は、マルウェアを使って個人情報を盗んだり、SNS内でのコメントやメッセージでのやりとりや写真、通話記録などのデータを収集したりする場合もあります。

現在、確認されている悪意のあるソフトウェアの多くは、簡単に検出できないように工夫されているため、ユーザーは自分のデバイスにマルウェアがあることに気づかない可能性があります。

マルチデバイス攻撃

ジュースジャッキング攻撃は、スマートフォンなどの携帯端末をマルウェアに感染させますが、実はそれだけではとどまりません。スマートフォンに感染したマルウェアは、サイバー犯罪者が何もしなくても勝手に拡散し続けるように設計されています。よって、マルウェアはスマートフォンからUSBケーブルなどを伝って、パソコンや他のデバイスも感染し、自分だけではなく、家族や友人にまで被害が広がる可能性があります。

もしも、仕事で使用しているデバイスが感染した場合は、被害が会社全体にまで及ぶかもしれないので、普段から仕事用とプライベート用のデバイスはしっかりと分けて使うようにしましょう。特に仕事で使用するデバイスは、不特定多数が利用できる充電スポットなどで充電しないなど、取り扱いには十分注意しないといけません。

このようにサイバー犯罪者は、マルチデバイス攻撃によって攻撃の規模を拡大し、複数のデバイスを同時に感染させることができます。

無効化攻撃

ジュースジャッキング攻撃にはさまざまな攻撃手法がありますが、この無効化攻撃も解決するためにはかなり手を焼く手法といえます。この手法は、デバイスにロックをかけることで、ユーザーが自分のデバイスに全くアクセスできなくし、代わりにサイバー犯罪者に全てのアクセスと制御する権利を与えてしまうというものです。

感染したUSBケーブルを使ってデバイスに接続すると、マルウェアがダウンロードされてしまい、デバイスは無効化されてしまってユーザーは端末にアクセスできなくなります。一度デバイスが無効化されてしまうと、たとえユーザーが自分のスマートフォン内で何か不審な動きがあることに気づいたとしても、無効化を解除しない限り、何もすることができなくなるのです。

サイバー犯罪者達は、無効化を解除する見返りとして金銭などの要求をしてくる場合もあります。

ジュースジャッキングはどのような場所で起こるのでしょうか。以下のような充電スポットを提供している公共の場でも起こる可能性があります。

• 空港
• ホテルやホステル
• ショッピングモール
• 充電用キオスク
• カフェ
• 電車の駅やバスターミナル

サイバー犯罪者が狙うのは、無料で充電できる場所だけだと思うかもしれませんが、必ずしもそうとは限りません。通常の有料の公共の充電スポットでも、マルウェアがインストールされている可能性があるので気をつけましょう。

ジュースジャッキング攻撃は、深刻な被害をもたらす可能性がありますが、いくつか対策を施すことでジュースジャッキング攻撃を避け、データを保護することができます。以下に、ジュースジャッキング攻撃を防ぐための方法を紹介します。

公共のUSBポートやケーブルで充電しない

ジュースジャッキング攻撃は、カフェや空港など公共の充電スポットでUSBポートやUSBケーブルを使って充電している場合にしか起こりません。よって、最善の方法としては、公共のUSB充電スポットを使用しないことです。公共の充電スポットは無料で充電ができる点においては魅力的といえますが、ジュースジャッキング攻撃に遭う可能性を考えると、利用しないのが得策です。

モバイルバッテリーを使用する

モバイルバッテリーは、外出先でデバイスを充電するための安全で便利な方法です。普段からモバイルバッテリーを持ち歩くことで荷物が重くなったり、定期的な充電の必要性など多少の手間はかかりますが、モバイルバッテリーを利用することで公共の充電スポットを介したウイルス感染を避けることができるので、ジュースジャッキング攻撃の被害に遭うこともなくなります。外出先では、スマートフォンの充電がいつ切れるかわからないので、モバイルバッテリーの充電は常に満タンにしておきましょう。

USBデータブロッカーを使用する

USBデータブロッカーは、公共の充電スポットを利用する際に、ジュースジャッキング攻撃からスマートフォンを保護する装置です。スマートフォンの充電ポートに差し込んで使用することで、充電スポットのUSBコードとデバイスの間に防御するセキュリテイの壁を構築する役割を果たし、充電ケーブルを通してのデータ転送をブロックします。このようにUSBデータブロッカーを使用することで、悪意のあるハッカーがデバイスにマルウェアをダウンロードしたり、データを盗んだりすることができなくなります。

電源コンセントを使用する

電源コンセントは、公共の充電スポットでモバイル機器を最も安全に充電するための方法です。ジュースジャッキング攻撃は、USB型の充電器に接続した場合にのみ発生するため、外出先でどうしても携帯電話を充電する必要がある場合は、充電スポットの感染している可能性のあるUSBポートやケーブルを利用するリスクを避けて、電源コンセントを使用するようにしましょう。

公共の場所で危険を避けるためのセキュリティ対策

今回は、公共の電源スポットで起こるジュースジャッキング攻撃の仕組みや対策を紹介してきました。上記で紹介した対策を行なうことで、被害にジュースジャッキング攻撃に遭遇することなく、自分のスマートフォンやデバイスを保護することができるでしょう。

また、公共の場所では電源スポットだけにとどまらず、フリーWi-Fiも危険性が高いです。公共のフリーWi-Fiに接続してインターネットを使用し、個人情報や金融情報を入力してしまい、漏えいの被害に遭うケースがあります。

特に海外旅行の際には、セキュリティが脆弱な空港やカフェなどのフリーWi-Fiを使用するのはとても危険なので、フリーWi-Fiにどうしても接続したい場合は海外旅行向けのVPN（仮想プライベートネットワーク）の使用をおすすめします。

VPNを使用することでスマートフォンなどデバイスでの通信を暗号化できるのでセキュリティ対策として最適です。VPNの優れたセキュリティ機能を利用することで、オンライン上での安全性はより高まるでしょう。