スマートフォンを充電するために、公共の充電ステーションや借りたケーブルを頻繁に利用していると、ハッキングされる危険にさらされる可能性があります。
2017年にサンフランシスコで開催されたRSAカンファレンスで、セキュリティ企業Authentic8は、参加者にコードとアダプター付きの無料充電ステーションを提供するという社会実験を行いました。その結果、約80%の人がセキュリティについて確認することなく充電ステーションを利用したことが分かりました。
CNNは水曜日にこの実験について報道し、「ハッキングされたコンセント」にスマートフォンが差し込まれている間、電話のデータが盗まれる可能性があると主張し、スマートフォンユーザーに「公共のコンセント」への接続を避けるよう促しました。しかし、この表現は少し分かりにくいため、私たちはセキュリティ専門家に協力を仰ぎ、実際の脅威について解説してもらいました。
参照:ハッカーが携帯電話ハッキング会社Cellebriteから900GBのデータを盗む
最大の懸念は「コンセント」という言葉の意味です。充電に関わる様々な機器を指す際に、多くの人がこの言葉を多用するからです。しかしこの記事では、家庭の壁にあるような3ピンコンセントのことを指します。
Authentic8 のマーケティング責任者 Drew Paik 氏は、この脅威は USB ケーブル、USB 電源アダプタ、USB ポートに関係しており、壁のコンセントには関係していないと説明しました。
「ACコンセント経由で感染するようなものは今のところ見当たりませんが、ケーブルやアダプターが、スマートフォン、モバイルデバイス、ノートパソコン、その他コンセントに接続するあらゆる機器を乗っ取ったり、不正利用したりすることは間違いなく可能です」とパイク氏は述べた。「結局のところ、電源とデータの双方向の経路になっているのです。」
ノースイースタン大学のコンピュータサイエンス教授、エンギン・キルダ氏は、壁のコンセントやコンセントに接続された3ピンサージプロテクターは理論上は侵入可能だが、「そのような攻撃は通常、複雑で非常に的を絞ったものになるだろう」と述べた。また、キルダ氏は、そのような性質の攻撃を実行するのは非常に困難だと述べた。
一方、USBは充電だけでなくデータ転送も可能なため、データ窃盗に悪用される可能性がはるかに高くなります。カスペルスキー社の広報担当者によると、モバイルデバイスがUSBポートに接続されると、「ハンドシェイク」と呼ばれる通信が試行され、その際にデータが送信されます。
「携帯電話が『充電専用』(ロック)モードの場合でも、携帯電話のプラットフォームやオペレーティングシステムに基づいて、デバイス名、ベンダー名、シリアル番号などをUSBポートの背後にあるシステムに送信することができます」とカスペルスキー研究所の広報担当者は述べた。
では、どうすれば身を守れるのでしょうか?キルダ氏によると、一部のスマートフォンではUSB接続が確立されるとユーザーに警告が表示されるとのことです。しかし、OSに頼って安全を確保すべきではないとパイク氏は言います。むしろ、すべてが既に危険にさらされていると想定するのが最善だと付け加えました。
最大限の安全を確保するには、お手持ちのUSBケーブルとUSB電源アダプターを使用し、壁のコンセントに直接差し込んでください。壁のコンセントが見つからない場合は、信頼できるモバイルバッテリーパックを代わりに使用してください。
電源アダプターがない場合は、危険にさらされる可能性があるため、ランダムに USB ポートを使用することは避けてください。
「USBポートは、接続されたデバイスに関するデータを収集するシステム、欠陥のある電源、強力なコンデンサ、あるいはデバイスにバックドアをインストールするコンピューターになる可能性があります」とカスペルスキー研究所の広報担当者は述べています。「デバイスを接続する前に、その可能性を知ることはできません。ですから、接続しないでください。」
Kaspersky Lab が推奨する追加のヒントとしては、充電中にロックを解除して電話を使用しないこと、可能な場合は適切な暗号化を使用すること、およびセキュア コンテナの使用を検討することが挙げられます。
Authentic8の実験が示しているのは、ほとんどのスマートフォンユーザーがセキュリティを十分に真剣に考えていないということです。実際、ペイク氏によると、ある女性は「何も重要なデータが入っていなかった」という理由で、ブースに5分以上もスマートフォンを放置していたそうです。
「USBアダプターであろうとWi-Fiであろうと、デバイスに対する軽率な態度がデータを危険にさらす可能性があります」とパイク氏は述べた。「そして、誰もが貴重なデータを持っているのです。」
