【Facebook】公共充電スポットの罠!「ジュースジャッキング」による認証情報の流出と対策

外出先でスマホのバッテリーが切れた際、空港やカフェに設置された無料のUSB充電ポートは非常に便利です。しかし、そこには『ジュースジャッキング(Juice Jacking)』と呼ばれる、物理レイヤーでのサイバー攻撃が潜んでいる可能性があります。
USBケーブルは「電力供給」と「データ転送」の双方を担う構造になっており、悪意を持って改造された充電ポートに接続すると、充電と同時にスマホ内部のデータが抜き取られたり、悪質なスパイウェアをインストールされたりするリスクがあります。特にFacebookのセッション情報(Cookie)が盗まれれば、二段階認証すら回避してアカウントを乗っ取ることが可能です。本記事では、最新OSの保護機能と、物理的な防御デバイスを用いた対策を詳説します。

—

1. 技術仕様:USB規格の『4つの道』と攻撃の論理

USB(Universal Serial Bus)コネクタの内部には、役割の異なる複数のピン(信号線)が並列しています。

ジュースジャッキングの物理的メカニズム

・電力線とデータ線の共存:標準的なUSB-AやUSB-Cには、$V_{BUS}$(電源)と $GND$(グラウンド)に加え、$D+$ と $D-$ というデータ転送用のペア線が存在します。ジュースジャッキング攻撃は、このデータ線を利用してスマホとの間で「秘密の通信」を確立します。
・MTP/PTPモードの悪用:接続した瞬間、スマホが「メディアデバイス(MTP)」として認識されると、攻撃者のサーバーはファイルシステムへアクセスし、Facebookの認証トークンが保存されたフォルダや、写真、連絡先データをスキャンします。
・HID(Human Interface Device)攻撃:さらに高度な攻撃では、充電ポートが「キーボード」として振る舞い、超高速でコマンドを入力( Keystroke Injection )することで、セキュリティ設定を書き換えたり、外部へ情報を送信するアプリを勝手にインストールさせたりします。

—

2. 実践:2026年最新OSによる『ソフトウェア防御』

スマホメーカー各社もこの脅威を認識しており、OSレベルでのガードを強化しています。

iOS 26のUSB-Cデータ保護

2026年にリリースされたiOS 26では、USB-C端子に未知の周辺機器が接続された際、画面がロックされている間は「いかなるデータ通信も許可しない」設定がデフォルト化されました。
・「このコンピュータを信頼しますか?」の無視:充電中にこのポップアップが出た場合、そのポートは電力を供給するだけでなく「あなたのデータに触れようとしている」証拠です。迷わず「信頼しない」を選択してください。

AndroidのUSBデフォルト設定

Android 14以降の標準仕様では、接続時のデフォルトモードが「データ転送なし(充電のみ)」に設定されていますが、開発者オプション( USBデバッグ )が有効になっている場合、そのガードを潜り抜けられるリスクがあります。外出前には必ず 「USBデバッグ」がオフ であることを確認してください。

—

3. 応用:『USBデータブロッカー』による物理的な隔離技術

ソフトウェアの隙を突かれないための、最も確実( $100\%$ )な対策がハードウェアによる「物理的な絶縁」です。

USBデータブロッカー(通称:USBコンドーム)の仕組み

・ピンの物理的欠如:この小型アダプターの内部には、$D+$ と $D-$ のピンを繋ぐ金属板が存在しません。回路図レベルでデータ経路が切断されているため、理論上、どのようなサイバー攻撃もこの壁を越えることは不可能です。
・高速充電との両立:最新の第3世代データブロッカー(PortaPow等)は、データ通信は遮断しつつも、急速充電規格( USB-PD や Quick Charge )の認識信号だけをシミュレートするチップを搭載しており、安全性を保ったままフルスピードで充電が可能です。

—

4. 深掘り:『O.MGケーブル』というステルス脅威

公共の「ポート」だけでなく、落ちている「ケーブル」そのものが攻撃用デバイスであるケースがあります。

・ケーブル内蔵型インプラント:見た目は純正のLightningやUSB-Cケーブルと全く同じですが、コネクタの根元に超小型のWi-Fiチップとメモリが埋め込まれた『O.MGケーブル』が存在します。これにスマホを繋ぐと、数km離れた場所にいる攻撃者がWi-Fi経由であなたのFacebookを遠隔操作できます。
・対策:他人のケーブルや、道端で拾ったケーブルは絶対に自分のスマホに差し込まないでください。ケーブルは「消耗品」ではなく「精密な情報デバイス」であるという認識が必要です。

—

5. エンジニアの知恵:『モバイルバッテリー』をハブ(中継点)にする

ITエンジニアが外出先で電力を確保する際に用いる、リスク管理の定石( Standard Practice )です。

・間接充電プロトコル:公共のUSBポートからスマホへ直接繋ぐのではなく、「公共ポート → モバイルバッテリー → スマホ」 という順で充電します。モバイルバッテリー自体にはFacebookのログイン情報などの機密データが存在しないため、万が一ポートが侵害されていても盗まれるものがありません。モバイルバッテリーを「安全な貯水槽( Buffer )」として機能させることで、最終的なエンドデバイス(スマホ)の安全を論理的に切り離します。

まとめ:ジュースジャッキング対策チェックリスト

Facebookアカウントの安全性は、ソフトウェアのパスワード設定だけでなく、スマホを繋ぐ「ケーブル」や「ポート」といった物理的なインフラの信頼性にも依存しています。ジュースジャッキングは目に見えない攻撃ですが、ACコンセントの使用やデータブロッカーの携行というわずかな工夫で、そのリスクを完全にゼロにすることが可能です。便利さに潜む罠を理解し、ハードウェアレベルでの『ゼロトラスト』を実践することで、外出先でも安心してFacebookを利用できる環境を整えましょう。