サイバーセキュリティの世界でもっとも議論を呼ぶテーマのひとつが、「ジュース・ジャッキング」と呼ばれるものだ。このハッキングはほぼ毎年、政府の機関が休暇シーズン前に新たな警告を出すたびにニュースになり、実際の攻撃よりも記事の数の方が多いほどだ。しかし先日、この攻撃が実際に旅行者に脅威を及ぼすことを示唆する新たな警告が発出された。
ジュース・ジャッキングは、空港やホテルの公共の充電ケーブルやソケットにスマートフォンを接続する旅行者をターゲットとしたもので、無害な充電器に見えるデバイスの裏側でコンピュータが稼働していて、端末からデータを抜き取るという攻撃だ。米連邦通信委員会(FCC)は、ジュース・ジャッキングは技術的に実証された概念ではあるものの、実際に発生したと確認された事例は把握していないとしているが、用心だけはしておいた方がいいだろう。
自前の電源アダプターやモバイルバッテリーを利用し、「空港のUSB充電ポート」に直接つながない
最新の米政府による警告は運輸保安庁(TSA)が発したもので、「空港では、スマートフォンをUSBポートに直接差し込まないこと」や「TSAの基準に準拠した電源アダプターやバッテリーパックを持参して、それに接続すること」を勧めている。また、その理由を「ハッカーがUSBポートにマルウェアを仕込む可能性があるため」としており、「当局は、この攻撃が『ジュース・ジャッキング』や『ポート・ジャッキング』と呼ばれていることを把握している」と述べている。
「無料Wi-Fi」を使用せず、自分の情報を守るためパスキーを設定
TSAはまた、スマートフォンのユーザーに対して「無料の公共Wi-Fiを使わないこと」を推奨し、特にオンラインで買い物をする場合は利用を控え、セキュリティレベルが低いWi-Fiに接続中に、センシティブなデータを「絶対に入力してはならない」とも述べている。しかし、この公共Wi-Fiの乗っ取りリスクも、ジュース・ジャッキングと同様に、サイバー専門家の間で意見が分かれる話題だ。というのも、このようなWi-Fiの利用により位置情報が漏れる可能性はあるものの、Webサイトやアプリから送受信される暗号化されたデータ自体は安全だと考えられているからだ。
より深刻なリスクとしては、攻撃者が本物そっくりの偽Wi-Fiにユーザーを接続させ、悪意のあるアプリのインストールを促したり、グーグルやマイクロソフトのアカウントの偽のログインページに誘導したりするケースが挙げられる。この攻撃への対策としては、パスキーを使用し、リンク先やポップアップウィンドウからはログインせず、正規のルートからアクセスすることや、個人情報を安易に入力しないことが重要だ。さらに、接続しようとしているWi-Fiが、ホテルや空港の正規のものであるかどうかを注意深く確認することも推奨される。
