出先の充電ケーブルは使うな。差すだけでPC乗っ取りの恐れ(スマホライフPLUS)
職場のデスクに置かれた充電ケーブル。会議室で「ご自由にお使いください」と貼られたUSBケーブル。カフェのテーブルに忘れ物のように転がっているケーブル——。もしそれが「ただの充電ケーブル」ではなかったとしたら、あなたは気づけるでしょうか。 海外のクラウドファンディングサイトKickstarterに登場した「Hacknect」というプロジェクトが、いまサイバーセキュリティの世界で大きな話題を呼んでいます。このケーブル、外見はどこにでもあるUSBケーブルそのもの。しかしその内部には、Wi-Fi対応の小型コンピュータが隠されているのです。
Hacknectの内部に搭載されているのは、Espressif Systems製の「ESP32-S3」というチップです。これは240MHzで動作するデュアルコアプロセッサで、512KBの内蔵メモリ、2.4GHz Wi-Fi、Bluetooth 5 LEに対応しています。もはや一昔前のパソコンに匹敵するような処理能力を、あの細いケーブルの中に収めてしまったわけです。 Kickstarterのキャンペーンページによれば、Hacknectは以下のような機能を備えています。 ・コンピュータに接続すると「キーボード」として認識され、自動的にコマンドやスクリプトを実行 ・ブラウザダッシュボードまたはスマートフォンからワイヤレスで遠隔操作 ・microSDカードスロットを内蔵し、隠しファイルの保存が可能 ・スクリプトの遠隔実行やタスクの自動化 つまり、誰かのPCにこのケーブルを差し込むだけで、離れた場所からWi-Fi経由でそのPCを操作できてしまう可能性があるということです。
「USBデバイスをキーボードに偽装して攻撃する」という手法自体は、サイバーセキュリティの世界では以前から知られています。代表的なのがHak5社の「USB Rubber Ducky」と「O.MG Cable」です。 USB Rubber Duckyは、見た目はUSBメモリですが、PCに差し込むと「キーボード」として認識され、あらかじめ仕込んだコマンドを毎分1,000語を超える速度で自動入力します。 さらに高機能なO.MG CableのElite版は、毎秒890キーの入力速度に加え、最大300個のペイロード(攻撃用のスクリプト)を保存可能です。Hak5によれば、こうしたケーブルはかつて約20,000ドルもするものであり(NSA=米国家安全保障局が使用したとされる類似ツール「COTTONMOUTH-I」が一例)、同等の技術が民間レベルに降りてきたという事実そのものが、時代の変化を象徴しています。 Hacknectは、これらの先行製品と同様の機能をUSBケーブルの形状に収めたものとして注目されています。
Page 2
こうしたハードウェア攻撃から身を守るために、今日からできることがあります。 ① 出所不明のUSBケーブルは絶対に使わない カフェ、空港、ホテルなどに置かれた「誰のものかわからないケーブル」は使わないでください。充電が必要なら、自分のケーブルかモバイルバッテリーを使いましょう。 ② 「充電専用」のUSBデータブロッカーを活用する USBポートに差し込む小さなアダプタで、電力だけを通しデータ通信を物理的に遮断する「USBデータブロッカー」という製品があります。数百円程度で購入でき、出先で充電する際の防衛手段になります。 ③ 職場のセキュリティポリシーを見直す オフィスのPCに「持ち込みケーブルやUSBデバイスの接続禁止」というルールがなければ、IT部門に確認してみてください。組織レベルでUSBポートの利用制限をかけることも有効な対策の一つです。 「たかがケーブル」と思うかもしれません。しかし、サイバーセキュリティの脅威は、もはやパソコンの画面の向こう側だけに存在するものではなくなっています。机の上に置かれた1本のケーブルが、あなたの個人情報や仕事のデータへの入口になり得る——。Hacknectの登場は、そんな時代がすでに来ていることを私たちに突きつけています。
スマホライフPLUS編集部
関連記事:
