攻撃と脅威
ジュースジャッキング
別称: USB 充電ポート攻撃
定義
公共または改造された USB 充電ポートを使い、ケーブルのデータ線を悪用して接続したスマートフォンにマルウェアを仕込んだりデータを抜いたりする攻撃。
USB ケーブルは標準で電源とデータを同時に運びます。ジュースジャッキングは、空港・ホテル・バスターミナルや公共のモバイルバッテリーに仕込まれた充電ポートのデータピンを悪用します。スマートフォンを接続すると、攻撃者ホストは端末の自動信頼ポリシーに応じて自動データ抽出、マルウェアの導入、MTP/ADB/PTP アクセスなどを試みます。実発生率には議論がありますが、攻撃カテゴリ自体は実在し、ラボでは容易に再現できます。対策は、電源のみの「USB データブロッカー」を使う、自前の充電器とケーブルを持ち歩く、不審なポートではなく壁面アダプタを使う、ロック中の USB データ通信を無効化する、ホスト信頼を確認ダイアログで明示することです。
例
- 改造された空港の充電キオスクが、短時間挿しただけのロック解除済み Android にスパイウェアを導入する。
- コントローラーを内蔵した無料の公共モバイルバッテリーが、充電中に ADB 接続を試みる。
関連用語
モバイルマルウェア
スマートフォンやタブレットを標的にし、データ窃取、通信傍受、暗号資産マイニング、金融詐欺などを行う悪意あるソフトウェア。
スパイウェア
利用者・端末・組織に関する情報を密かに収集し、外部に送信するマルウェア。
サプライチェーン攻撃
信頼されたサードパーティのソフトウェア・ハードウェア・サービス提供者を侵害し、その下流顧客に到達する攻撃。
ソーシャルエンジニアリング
心理的な操作によって人を欺き、攻撃者に有利な行動を取らせたり機密情報を引き出したりする攻撃の総称。
ショルダーサーフィン
肩越しに、または隠しカメラ越しに、画面・キーボード・PIN パッドを盗み見て、認証情報・コード・機密情報を盗む手口。
ダンプスターダイビング
組織や個人が廃棄した紙、リムーバブルメディア、機器などを漁り、機密情報を取り出す手口。