CyberFix Note
防御・ハードニング

公共USB充電ポートのジュースジャッキングはどこまで警戒すべきか

対象の目安: 一般利用者 / 入門

アオイ防御・運用担当
・ 約14分で読めます
公共USB充電ポートのジュースジャッキングはどこまで警戒すべきか

空港やカフェに備えつけられたUSB充電ポートを使うと、充電と一緒にデータを抜かれたりマルウェアを仕込まれたりする、という注意喚起を見かけます。ジュースジャッキングと呼ばれるこの手口は、機構としては成立します。ただ、注意喚起の強さに比べて、実際に仕掛けられた被害の確認は乏しいという指摘も同時にあります。この記事は、まず仕組みと実態を確認したうえで、2025年に報告された新手の手口にも触れ、利用者が取るべき対策を優先順位の順に整理します。あわせて、希望する人向けに対策グッズの選び方も示します。なお本記事はアフィリエイトリンクを含みます。紹介する製品の効果や適合性を保証するものではなく、購入判断はご自身の利用環境に照らしてお願いします。詳細は広告・アフィリエイトについてをご覧ください。

ジュースジャッキングはUSBが給電とデータ通信を兼ねる構造を突く

ジュースジャッキングという言葉は、充電(juice)を装って端末を乗っ取る(jacking)ことを指します。この手口が成り立つ理由は、スマートフォンの充電端子の構造にあります。USB端子は電力の供給とデータの通信を同じ物理コネクタで行うため、利用者が充電のつもりでつないだ先が、データ通信もできる機器だった場合、給電と並行してデータにアクセスされる余地が生まれます。

攻撃の想定は、公共の場に置かれた充電ポートや、貸し出される充電ケーブルに細工がされている状況です。細工された機器に端末を接続すると、充電のためにつないだだけのつもりが、データ通信用の経路も開く場合があります。ただし、実際にファイルの読み出しやコードの書き込みにつながるかは条件によります。端末がロックされているか、データ接続を許可したか、OSの版や実装に不備があるかによって変わり、現在のiPhoneやAndroidは接続時にデータ転送の可否を利用者に確認する仕組みを備えています。古い端末や、利用者がデータ接続を許可してしまった場合、実装に不備がある場合に、写真や文書などの読み出しやマルウェアの書き込みが試みられる、という流れになります。FBIの一部部局やFCCがこの手口に注意を呼びかけた経緯があり、対策として、公共のUSBポートではなくコンセントを使うことや、自分の充電器とケーブルを持ち歩くことが挙げられています。

ただし、この機構が成立することと、実際に被害が広く起きていることは別の問題です。次の章で、報じられている実態を確認します。

注意喚起の強さに比べて実被害の確認は乏しい

ジュースジャッキングは、警戒の言葉が広く出回っている一方で、現実の被害の裏づけが伴っていないと指摘されてきました。ITmediaの報道は、空港やホテルの無料USB充電ポートを使っただけでマルウェアに感染するとしてFBIやマスコミが注意を呼びかけたものの、この攻撃が実際に仕掛けられた事案は確認されていないと伝えています。手口自体は10年ほど前に提示されたもので、理論上の脅威として語り継がれてきたという経緯があります。

注意喚起が繰り返される背景には、情報の循環があります。ある機関が過去の警告を再掲すると、報道がそれを取り上げ、別の機関がさらに注意喚起を出す、という連鎖が起きます。新しい被害の証拠が加わらないまま、警戒の声だけが増幅されやすい構造です。実際、2023年に話題になったFBIの注意喚起は、特定の新たな脅威情報に基づくものではなく、過去にFCCが掲示していた内容を再び広めたものだったと報じられています。

この事実は、対策が不要だという意味ではありません。機構として成立する以上、ゼロリスクではないからです。一方で、リスクを過大に見積もって不安をあおる必要もありません。利用者にとって妥当なのは、被害の確認が乏しいという実態を踏まえたうえで、手間の小さい対策から備えておくことです。なお、構造を突く攻撃の研究は続いており、2025年には対策をすり抜ける新手法が報告されました。これを次に確認します。

ITmediaは、ジュースジャッキングについて、空港やホテルの無料USB充電ポートを使っただけでスマートフォンがマルウェアに感染するとしてFBIやマスコミが注意を呼びかけた一方、この攻撃が実際に仕掛けられた事案は確認されていないと報じています。手口は10年ほど前に提示された理論上の脅威であり、注意喚起が証拠の追加なく循環しやすいという指摘もあわせて示されています。本文の「実被害の確認は乏しい」という整理はこの報道に基づきます。

チョイスジャッキングという新手法の概要

2025年に、ジュースジャッキングの対策をすり抜ける新しい手口が研究として報告されました。チョイスジャッキング(ChoiceJacking)と呼ばれるもので、オーストリアのグラーツ工科大学の研究チームがUSENIX Security 2025で公表しました。これは、従来のジュースジャッキング対策を回避する初の手法だと位置づけられています。

従来、スマートフォンは充電器をデータ通信のために信頼するかどうかを利用者に確認する画面を出し、利用者が許可しなければデータ転送が始まらない設計になっていました。チョイスジャッキングの機構は、この確認をすり抜ける点にあります。充電器を装った機器が、キーボードなどのUSB周辺機器として振る舞って入力イベントを送り込みながら、データ接続側へ切り替えることで、本来は人が押すべき同意の操作を機器側で自動的に完結させてしまう、という仕組みです。Kasperskyの解説によると、悪意ある機器が自ら接続を承認し、その動作は人がまばたきするより短い時間で行われると報告されています。

この手口に対しては、OS側で対策が進んでいます。研究を受けてAppleとGoogleは、データ転送を許可する際に単なるタップだけでなく生体認証や暗証番号の入力を求める変更を導入しました。この変更はiOS 18.4とAndroid 15に含まれます。一方で、一部の端末では同様の安全な確認を求めない構成が残っていたと報告されており、機種やOSの版によって状況が異なります。研究段階の手法であり、現実の被害が広がっているわけではない点は、過度に恐れずに押さえておくところです。実務的には、OSを最新に保つことが、こうした新手法への基本的な守りになります。

チョイスジャッキングは、2025年にグラーツ工科大学の研究チームがUSENIX Security 2025で公表した、従来のジュースジャッキング対策をすり抜ける手法です。悪意ある機器がデータ転送の許可操作を自ら行い、利用者の同意確認をすり抜ける点が新しいとされています。研究を受けてAppleとGoogleは生体認証や暗証番号を求める対策をiOS 18.4とAndroid 15で導入しました。一部端末では安全な確認を求めない構成が残っていたとの報告もあり、機種やOSの版で状況が異なります。研究報告の段階であり、実被害が広がっている確認ではない点に留意してください。

対策はまず自分の電源、次に器具とスマホ設定

ここまでの実態を踏まえると、対策は手間と効果のバランスで順番をつけられます。最も確実なのは、公共のUSBポートにそもそも端末を直接つながないことです。FCCも、AC電源のコンセントを使うことや、自分の充電器とケーブルを持ち歩くこと、モバイルバッテリーを携帯することを推奨しています。コンセントとモバイルバッテリーは充電だけを行い、データ通信の経路を持たないため、ジュースジャッキングやチョイスジャッキングが想定する接続自体が起きません。

次の段に置けるのが、データ通信を物理的に遮る器具です。USBデータブロッカーは、USBコネクタのうちデータ通信に使う線を遮断し、給電の線だけを通す小さなアダプタです。充電専用のUSBケーブルも同じ考え方で、データ線を持たない作りになっています。これらを公共ポートとの間にはさめば、給電は受けつつデータのやり取りを断てます。ただし、効果はあくまで補助です。最初の段の「自分の電源を使う」を実行できる場面では、器具に頼る必要はありません。器具は、どうしても公共ポートを使う場面のための備えと位置づけるのが妥当です。

加えて、スマートフォン側の設定と更新も基本の守りになります。USB接続時に「データ転送を許可しますか」「このコンピュータを信頼しますか」といった確認が出たら、充電だけが目的なら必ず「充電のみ」や「許可しない」を選びます。前章のとおり、この確認をすり抜ける手口が研究で示されたため、OSを最新の版に保つことが、すり抜けへの対策を取り込むうえで効いてきます。明細や通知を含む日常の基本対策と、端末そのものの守りを合わせて固めるなら、個人向けセキュリティソフトの選び方も参考になります。

あわせて読みたい

個人向けセキュリティソフトの選び方。Windows標準のDefenderとどう使い分けるか

公共の場で充電するときの手順

  1. 1

    可能なら公共USBポートを避け、ACコンセントに自分の充電器をさして充電する

  2. 2

    コンセントが使えないときは、持参したモバイルバッテリーから充電する

  3. 3

    公共ポートを使わざるをえないときは、USBデータブロッカーか充電専用ケーブルを間にはさむ

  4. 4

    接続時に「データ転送を許可」や「このコンピュータを信頼」の確認が出たら、充電目的なら「充電のみ」「許可しない」を選ぶ

  5. 5

    スマートフォンのOSを最新の版に更新しておく

グッズの選び方は守る対象を見極めてから

対策グッズを選ぶ場合も、最初に押さえるのは位置づけです。データブロッカーや充電専用ケーブルは、自分の電源を使えない場面の補助であり、これらを買えば安心という性質のものではありません。最も確実なのは公共ポートを使わずに済ませることだ、という前提を踏まえたうえで、補助として持つかを判断します。価格はいずれも数百円から千円程度で、旅行や出張のときの安価な備えにはなります。

選ぶときの見方は、製品の種類ごとの役割を理解することです。市販される主なものは次のとおりです。

  • USBデータブロッカー:USBコネクタのデータ通信線を遮断し、給電線だけを通す小型アダプタ。手持ちのケーブルと公共ポートの間にはさんで使う。データ転送が必要なときは取り外す必要がある。USB-Cでは充電の制御信号(CCやPD)や対応電力に製品差があり、仕様不明の粗悪品ではうまく充電できなかったり遮断が不十分だったりするため、信頼できるメーカーの製品を選び、データ遮断と対応電力を確認します。
  • 充電専用USBケーブル:データ線を持たず給電だけを行うケーブル。ブロッカーをはさむ手間がなく一本で完結するが、そのケーブルではパソコンとのデータ同期はできない。こちらも対応電力と「データ通信なし」の明記を確認して選びます。
  • モバイルバッテリー:自分の電源を持ち歩く選択肢。充電だけを行うため公共ポートに依存せず、対策としては最も確実な部類に入る。容量と携帯性で選ぶ。

これらを踏まえると、まず検討に値するのはモバイルバッテリーです。公共ポートを使う場面そのものを減らせるため、ジュースジャッキングの想定を根本から外せます。そのうえで、荷物を増やしたくない人や、念のための備えを足したい人が、データブロッカーや充電専用ケーブルを追加する、という順序が無理のない選び方です。製品ページが「充電するだけで安全」と言い切っていても、効果はあくまで給電とデータ通信を分けることに限られる点を確認してください。あわせて、身近なガジェット全般の効果と限界や、決済まわりの防止グッズの効きどころも、グッズ選びの考え方として参考になります。

あわせて読みたい

プライバシーを守る身近なセキュリティガジェット。効果と限界を正直に整理する

あわせて読みたい

スキミング防止グッズは必要か

USBデータブロッカー

広告
USBデータブロッカー

USBコネクタのデータ通信線を遮断し、給電線だけを通す小型アダプタのカテゴリです。手持ちのケーブルと公共ポートの間にはさんで使います。自分の電源を使えない場面の補助であり、これがあれば公共ポートを無条件に使えるという性質のものではありません。データ同期が必要なときは取り外す前提になる点と、対応する端子(USB Type-AやType-C)が手持ちのケーブルに合うかを製品ページで確認してください。

※価格・在庫は変動します。最新の情報は各販売サイトでご確認ください。

充電専用USBケーブル

広告
充電専用USBケーブル

データ線を持たず給電だけを行うケーブルのカテゴリです。ブロッカーをはさむ手間がなく一本で完結します。一方で、そのケーブルではパソコンとのデータ同期や転送はできないため、充電専用と通信用を分けて持つ運用になります。端子の種類と、対応する充電規格や電力(出力)が自分の端末に合うかを製品ページで確認してください。

※価格・在庫は変動します。最新の情報は各販売サイトでご確認ください。

モバイルバッテリー

広告
モバイルバッテリー

自分の電源を持ち歩き、公共ポートに依存せず充電するための選択肢です。充電だけを行うため、ジュースジャッキングが想定する接続そのものを避けられ、対策としては最も確実な部類に入ります。容量(mAh)と重さや大きさのバランス、対応する充電規格や出力を、移動の頻度と持ち運びやすさに照らして選んでください。飛行機に持ち込む場合は容量の上限など航空会社の規定の確認も必要です。

※価格・在庫は変動します。最新の情報は各販売サイトでご確認ください。

公共充電とジュースジャッキングへの備えチェックリスト

  • 外出時にACコンセント用の充電器か、モバイルバッテリーを持ち歩いている
  • 公共USBポートを使うときはデータブロッカーか充電専用ケーブルをはさんでいる
  • 接続時の確認では充電目的なら「充電のみ」「許可しない」を選んでいる
  • スマートフォンのOSを最新の版に保っている
  • グッズは補助と捉え、まず自分の電源を使うことを優先している

公共USBポートのジュースジャッキングをどこまで警戒すべきかという問いには、機構としては成立するが実被害の確認は乏しい、と率直に答えられます。過度に恐れる必要はない一方で、ゼロリスクでもなく、2025年には対策をすり抜ける研究も報告されました。利用者にとって無理のない備えは、まず自分の充電器やモバイルバッテリーを使い、公共ポートを使うときだけデータブロッカーや充電専用ケーブルを足し、接続時には「充電のみ」を選んでOSを最新に保つことです。グッズは安心を買う道具ではなく、自分の電源を使えない場面を埋める補助だと位置づけると、費用と手間に見合った守りになります。

出典・参考

この記事をシェア

関連する記事

防御・ハードニング

スキミング防止グッズは必要か

クレジットカード不正利用の被害はEC上の番号盗用が大半で、磁気カード偽造やRFIDスキミングは現状ごく少数です。統計と決済の仕組みから防止グッズの効きどころを見極め、優先すべき対策とあわせて選び方を整理します。