新種の攻撃が研究者によって議論される
また、ジュース・ジャッキングについては、これまでの理論上の脅威に、新たな厄介な展開が加わった。これも現時点では理論段階に過ぎないが、実際に機能する攻撃に発展する可能性がある。新たな研究論文が、「ChoiceJacking(チョイス・ジャッキング)」と呼ばれるUSBベースの新種の攻撃群を紹介しており、研究者はこれを「既存のジュース・ジャッキング対策をすり抜ける初の攻撃」に位置づけている。
オーストリアの研究チームは、「従来の対策は、攻撃者がデータ接続の確立中に入力イベントを注入できないという前提に立っているが、実際にはこの前提は成り立たない」と指摘した。「我々は、プラットフォームに依存しない攻撃の原理と、AndroidおよびiOSにおける具体的な3つの攻撃手法を提示した。これにより、悪意ある充電器が自動的にユーザーの入力を偽装して、自らデータ接続を有効化することが可能になる」とこの研究チームは述べている。
心配な人はデータ遮断機能付きの充電アクセサリー、VPNを利用
この問題はiOSよりもAndroidにとって重大だが、ほとんどのユーザーにとっては過度に心配する必要はない。それでも、自分が標的にされる可能性があると考えている人や、リスクの高い地域に渡航する予定がある人は、データ遮断機能付きの充電アクセサリーを介さずに公共の充電スポットを利用したり、VPNを用いずに公共Wi-Fiに接続したりすることは避けたほうがいいだろう。
自分が管理していない機器にスマホを接続した状態でロック解除しない
また、自分が所有・管理していないデバイスにスマートフォンを接続した状態で、ロックを解除するのは避けたほうがいい。というのも、その瞬間にUSB経由でデータが抜き取られるリスクがあるからだ。興味深いことに、グーグルやサムスンは現在、こうしたUSB経由のデータの抜き取りに対する防御機能を強化している。さらにiOSやAndroidには、3日以上ロックされたままの端末を自動的に再起動させる新機能も加わっており、これもケーブル経由の攻撃に対する防御策となっている。
チョイス・ジャッキングの場合「Android 15でも端末の安全は保証されない」
チョイス・ジャッキングについて、セキュリティ大手のカスペルスキーは「アップルとグーグルは、それぞれiOS/iPadOS 18.4およびAndroid 15でこれらの攻撃手法を封じた」と述べているが、「残念ながら、AndroidではOSを最新にしていても端末の安全は保証されない」と警告している。そのため、「Android 15にアップデートしたユーザーは、念のため事前に自宅などの信頼できるPCにケーブルで接続し、USB接続時にパスワード入力や生体認証による確認が求められる設定になっているかをテストしておくべきだ。そうでない場合は、公共の充電ステーションの利用は避けるべきだ」と推奨している。
