空港やサービスエリアなどの公共の場所にある充電器にスマートフォンを差し込んだ瞬間、わずか0.1秒で写真や連絡先といった敏感な個人情報がハッカーの手に渡る可能性がある――韓国で秋夕(チュソク)の長期連休により海外旅行や帰省ラッシュが増える中、最新のハッキング手法である「チョイスジャッキング」に対する特別な注意が求められている。
韓国メガ・ニュース(MEGA News)のナム・ヒョクウ記者の取材によると、チョイスジャッキングは、ジュースジャッキングから一段階進化した新たなハッキング手法だ。ジュースジャッキングとは、公共の場所に設置された充電器にスマートフォンを接続した際に、悪性コードを注入したりデータを抜き取ったりする方法だ。
このような攻撃が広がる中で、USB接続時にユーザーの同意を求めるセキュリティシステムが導入され始めた。しかしチョイスジャッキングはその手続きを回避し、データを強制的に抜き取ることが可能だ。特に、すべての工程が0.1秒以内に進行する可能性があり、わずかに充電器に接続しただけでも危険にさらされる恐れがあると指摘されている。
研究によると、この手法はAndroid端末や一部のiOS機器にも効果があり、端末がロックされた状態でも特定のファイルが抽出された事例が報告されている。
秋夕のような連休期間中は、空港、駅、サービスエリア、カフェ、ホテルなど公共の充電ポートの利用が増えるため、より一層の注意が必要だ。特に海外旅行では、現地の充電インフラのセキュリティ水準を確認することが難しく、慣れない環境では警戒心が緩み、攻撃の成功率が高まるとの懸念も出ている。
NordVPNなどセキュリティ業界は、今回の秋夕連休に限らず、今後の旅行や外出が増える時期にも同様の攻撃が繰り返される可能性があると見て、ユーザーの警戒意識の向上を強調している。とりわけ公共のUSB充電ポートの使用を避けることが最も安全だとしており、特に見知らぬ場所では電源コンセントや個人の充電器を使用するのが望ましいと助言している。
やむを得ず公共の充電を使用する場合は、データ転送機能を排除した充電専用ケーブルやUSBデータ遮断器を使用することが推奨される。公共の充電への依存を減らすために、モバイルバッテリーを携帯するのも良い方法だ。さらに、OSやアプリを最新のセキュリティパッチの状態に保つことも必須である。
一部のスマートフォンで対応しているUSB接続時の「充電専用モード」を活用するのも効果的な対策だ。チョイスジャッキングは基本的にUSBデータ転送が可能な状態でのみ作動するため、このモードを有効にすればデータ転送チャンネルを根本的に遮断することができる。
オーストリアのグラーツ工科大学の研究チームが発表した研究によると、充電専用モードを有効化した場合、チョイスジャッキング攻撃は事実上完全に遮断できるという。つまり、充電専用モードが強制的に固定されていれば、攻撃者がデータを抜き取ることはできない。
しかしこの機能は、すべてのスマートフォンでデフォルトとして提供されているわけではない。ユーザーが自ら設定しないと、初期状態が「データ転送可能」となっている場合が多く、一部の旧型機種には充電専用モード自体が存在しないケースもあるため、各端末で対応状況を確認する必要がある。
NordVPN韓国支社のファン・ソンホ所長は「チョイスジャッキングは公共充電の脅威が進化した形で、一度の接続でデータ転送を許可させ、敏感な情報を流出させる可能性がある。公共のUSBポートを絶対に安全だと思い込んではいけない。ハッキングと盗難に対する認識と備えが第一の防衛線だ」と強調した。
(c)KOREA WAVE
