ジュースジャッキング対策を考えてみる

ジュースジャッキング(Juice Jacking)というのは、ご自由にお使いください的な雰囲気で設置された充電用ポートにスマホを接続すると、マルウェアを流し込まれたり情報を抜き取られたりするセキュリティ上の脅威。

充電とデータ通信を同一のポートで行うスマホの特性を悪用した攻撃です。うっかり使ってしまいそうな罠ですが、最近のAndroid搭載スマホであれば、そう簡単に引っかかることはありません。

それは、デフォルト動作としてUSBポートの利用が「充電のみ」に設定されているため。データ通信が必要な場合、通知から設定を変更することができます(上記スクリーンショット参照)。いつのバージョンからこの仕様だったのか記憶が曖昧なのですが、少なくともAndroid 9(Pie)に関してはそうした動作をします。

けれども、USBポート利用時のデフォルト動作は設定の開発者オプションから変更することができ、データ通信が可能な状態も選択できます。もしもそのような設定をしていた場合、ジュースジャッキングに対する抑止力はゼロとなります。

また、システムでUSBポートの利用が制限されているとはいえ、絶対的な安全ではありません。ジュースジャッキング以外のクラッキングにより、いつの間にかUSBポートが使用可となっていた...なんてことがあったりするかもしれないためです。

ということで、もっとも安全なのは「素性の知れない充電ポートは使わない」こと。スマホを充電する場合、自前のモバイルバッテリやUSB-ACアダプタを使用することでジュースジャッキングは100%防げます。

と、これで話は終わってしまう訳ですが、それだけではつまらないので、別の方法も少し。世の中には充電専用のUSBケーブルが売られており、これを使用することでジュースジャッキングによる被害を防げます。

この手のケーブルでは、ホスト機器との間でデータをやり取りするための端子(D+およびD-)が接続されておらず、どう頑張ってもデータ通信はできません。なので、ジュースジャッキングに対しては絶大なる効果を発揮する、という次第。

モノの購入に関しては、例えばAmazon辺りで充電専用USBケーブルを検索してみるのもひとつの方法ですが、個人的なオススメは100円ショップの利用です。

その理由は、言うまでもなく価格。1本あたり税込108円(2019/06現在)で買えます。無くしたとしても、精神的にも経済的にもほとんどダメージがなく、気兼ねなく使えるのがポイント。

もうひとつの理由は、意外と種類が多いこと(※1)。究極的なコストダウンを要求される100円ショップの商品においては、工程がわずかに少なく、部材でのコストカットもしやすい充電専用ケーブルが必然的に多くなる...のではないかと思われます。

当たり前ではありますが、データ通信対応のUSBケーブルもありますのでご注意を。購入時には、パッケージに"充電専用"の文字がプリントされているのを確認しましょう。写真ではパッケージの左上に明記されております。

さらに、可能であれば購入した充電専用ケーブルを使って手持ちのPCとスマホを接続し、本当に充電専用か確認しておくと安心できます。品質(きちんと充電できるか)を確認する意味でも、やっておいて損はありません。

データ通信が可能なケーブルであれば、スマホの接続時にPCのリアクション(ウィンドウが開く/ドライバが読み込まれるなど)を確認できますが、充電専用ケーブルにおいてはまったく反応しません。

なお、見た目で充電専用か否かは判断できないので、データ通信用ケーブルと一緒に持ち歩く場合には注意が必要です。あえて充電専用ケーブルを用意したのに、使い所を間違えてしまっては意味がありません。

そんな感じのジュースジャッキング対策でありました。ふいに得体の知れない充電ポートを使わざるを得ないような状況になることがあるかもしれません。そんな時のために、充電専用ケーブルを持っておくのもよろしいのではないかと思われます。

【※1】ショップにより品ぞろえには差があります。個人的なオススメは"セリア"。割とデジタル系アクセサリが豊富だったりします。

ー記事をシェアするー

B!