Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

充電ケーブルがリスクに

充電ケーブルの安全性について気になる記事がForbesに出ていました。

forbesjapan.com

 

ラスベガスで先日開催されたハッキング会議「DEFCON(デフコン)」(ヘンダーソンは「ハッカーのサマーキャンプ」と呼んでいる)では、「MG」というニックネームのハッカーが、改造したiPhoneの充電ケーブルを披露した。ニュースサイト「Vice(バイス)」によると、MGはこのケーブルを使ってiPodをマックコンピューターに接続させた後、遠隔でケーブルのIPアドレスにアクセスし、コンピューターを乗っ取った

MGは、埋め込まれたマルウエアは後に消去し、その存在の証拠を全て消すことができると述べている。MGは、この「O.MG」と呼ばれるケーブルを1つ200ドル(約2万1000円)で販売していた。

(中略)

ヘンダーソンによると、悪意のある充電ケーブルよりも現時点で大きな脅威は、空港などの公共の場に置かれているUSB充電ステーションだ。「これまで、充電ステーションに手が加えられたケースを幾つか見てきた。問題なのは電源コンセントではなく、充電ステーションについているUSBポートだ」(ヘンダーソン

「自分がどの機器に接続するかに注意すれば、良い予防措置となる」とヘンダーソン。「メールの添付ファイルを開けたりパスワードを共有したりすることと同じように考えてほしい。コンピューターの世界でケーブルを共有することは、パスワードを共有することと同じだ。この種の技術によって、それほどのレベルのアクセスを与えることになる」

(Forbes記事より引用)※機械翻訳

 

◆キタきつねの所感

充電ケーブル・・・までは考えた事がありませんでしたが、電力供給もあり、PCやスマホ端末に信頼機器(Trust)として接続されるという考えであれば、物理的にも中間に位置する充電ケーブルを使った(中間者)攻撃というのは、今後脅威になってくる事もありそうです。

 

記事では主に他人からケーブルを借りる様な想定で書かれていましたが、そっくり同じ形状のものであれば、他人の充電ケーブルをすり替えるといった攻撃も実現可能なので、対象はもっと幅広いかも知れません。

 

こうした攻撃について、どこかで聞いた事があったな・・・と探してみたのですが、1年前に伝説のハッカーとして名高いKevin Mitnick氏が同じ事を言っています。

www.youtube.com

 

DEFCONでの発表はもう少し奥が深いものであったのかも知れませんが、脅威(リスク)の原因部分については同じ気がします。

 

とは言え、1年前と比べても、スマホを充電できる環境というのは大幅に日本でも広がったと思います。国内出張で少し大きなビジネスホテルチェーンに行けば、充電ケーブルが枕元に置いてある率も高くなりましたし、空港のみならず、近くのイトーヨーカ堂でもモバイルバッテリーのレンタル機が設置され、充電ケーブルや充電池が使える環境が拡大しています。

 

そんな中で、ケーブルや充電池本体にマルウェア感染源を仕掛けておく様な攻撃が、今は大丈夫であっても、今後大きな被害をもたらしてくる可能性は否定できません。

気を付ける・・といっても個人でできる防衛策は自分の買ったケーブルだけ使う=充電できる環境を自分で用意する、又はケーブル・・という意味では無線充電装置を持っておく位しかなさそうな気がしますが、誰が提供しているものなのか、自分が使うものについては確認をするという習慣が必要なのかも知れません。

 

 

余談ではありますが、成田でもフリーの充電ステーションがありました。使っているのは日本人よりも外国人でしたが、、これは充電しながらビデオチャットをして大きな声を出している方がいたからだったのかとは思いますが・・・

f:id:foxcafelate:20190907133212j:plain

 

 

 

 

 

 

日本人のためのパスワード2.0   ※JPAC様 ホームページ

7/8に日本プライバシー認証機構(JPAC)様からホワイトレポートをリリースしました。キタきつねとしての初執筆文章となります。「パスワードリスト攻撃」対策の参考として、ご一読頂ければ幸いです。

 

 


 

更新履歴

  • 2019年9月6日PM(予約投稿)