スマートフォンの電池が残りわずかで、空港やカフェの公共充電スポットを見つけたとき、つい安心して接続してしまうケースがあるかもしれない。
しかし、2025年に注目を集めている「チョイスジャッキング(choicejacking)」という新たなサイバー攻撃が、こうした日常的な場面で私たちの個人情報を脅かしている状況はあまり知られていないのではないだろうか。
チョイスジャッキングは、公共のUSB充電ポートを利用してスマートフォンからデータを不正に盗む手口で、従来の「ジュースジャッキング(juice jacking)」を進化させたもの。
この攻撃は、ユーザーの知らないうちにデバイスを操作し、写真や連絡先、メッセージなどの個人情報を抜き取る危険性がある。
チョイスジャッキングの仕組み
チョイスジャッキングは、悪意のある充電器がスマートフォンのセキュリティ機能を巧妙に回避する点で特に危険と言える。
通常、スマートフォンをUSBポートに接続すると、「充電のみ」または「データ転送」を選択する画面が表示されるが、チョイスジャッキングでは、攻撃者がこの選択を自動的に操作する。
たとえば、充電器がUSBキーボードや別のデバイスを装い、ユーザーの代わりに「データ転送」を許可するボタンを押すような「入力イベント」を偽装。
これにより、攻撃者はユーザーの同意なしにデータにアクセスしたり、マルウェアをインストールすることが可能となる。
オーストリアのグラーツ工科大学の研究チームが2025年に発表した論文によると、この攻撃はわずか133ミリ秒(人間のまばたきより速い時間)で完了する場合もあり、ユーザーが気づくのはほぼ不可能だとされている。
2025年の最新事例
2025年に入り、チョイスジャッキングに関連する具体的な事例が報告されており、特に以下のようなケースが注目を集めている。
空港での被害
2025年4月に米国の主要空港で、公共充電ステーションを利用した旅行者のスマートフォンから写真や文書が流出したとされる事件が発生。
攻撃者は充電器をUSBホストとして動作させ、接続されたAndroidデバイスからデータを抜き取ったとされている。
このケースでは、Android 15を搭載していない古いデバイスが特に脆弱だったとのこと。
カフェの充電スポット
欧州の人気カフェチェーンで、2025年5月にチョイスジャッキングの被害が判明。
被害を受けたのは、主にHonorやOppoのデバイスを使用するユーザーで、デバイスがロック状態でもファイルが抜き取られたケースが報告されている。
この攻撃は、充電器がBluetooth接続を介して小型キーボードを模倣し、セキュリティプロンプトを自動で通過する手法を用いていた。
ホテルでのマルウェア感染事例
2025年7月、アジアのホテルチェーンで、公共充電ポートを利用したユーザーのデバイスにマルウェアがインストールされた事例が報告された。
この攻撃ではデータ流出だけでなく、デバイスがロックされ、身代金を要求されるケースも発生している。
これらの事例は、公共の場での充電がどれほどリスクを伴うかを示しており、特にAndroidデバイスの一部(SamsungのOne UI 7など)や、最新のソフトウェアアップデートを適用していないiPhoneが標的になりやすい。
企業側の対応
一方で、AppleとGoogle社側もチョイスジャッキングへの対策を進めている。
Appleは2025年にリリースしたiOS 18.4で、ロックされたiPhoneがUSB接続時にピンやパスワード認証を要求する機能を導入。
Googleは2024年11月のAndroid 15のリリースで、Pixelデバイスを中心にセキュリティを強化している。
ただし、Samsungなど一部のメーカーは、最新の認証要件をまだ完全に実装しておらず、脆弱性が残るデバイスも存在する。
NordVPN(仮想プライベートネットワークサービスを提供するサイバーセキュリティ企業)のアドバイザー、Adrianus Warmenhoven氏は、「チョイスジャッキングはユーザーの信頼を悪用する危険な手口。公共のUSBポートは決して安全とは言えません」と警告している。
対策は?
チョイスジャッキングへの対策には簡単な方法もあるためここでいくつか紹介する。
公共充電器を避ける
空港、ホテル、カフェなどの公共充電スポットは可能な限り使用しない。
代わりに、信頼できる電源アダプターやポータブル充電器(モバイルバッテリー)を持ち歩くことが推奨される。
「充電のみ」モードを選択
デバイスを接続する際、データ転送を許可せず「充電のみ」を選ぶ設定を確認する。
USBデータブロッカーを使用
データ転送を物理的に遮断するUSBデータブロッカー(USBコンデンサーとも呼ばれる)を利用すると、充電中のデータ流出を防ぐことができる。
ソフトウェアを最新に保つ
iOSやAndroidの最新アップデートを適用し、セキュリティパッチは常にインストールしておく。
デバイスロック
公共の場で充電する場合は、デバイスをロック状態にし、不審な通知に注意する。
チョイスジャッキングは、スマートフォンが私たちの生活に欠かせない存在であるがゆえに、サイバー犯罪者にとって魅力的な攻撃手法と認識されているのが現状となる。
2025年8月に開催のUSENIXセキュリティシンポジウムで、グラーツ工科大学の研究チームがさらなる詳細を発表する予定で、今後の技術的な対策や業界の対応に注目が集まっている。
しかし、技術が進化する一方で、ユーザーの意識と行動が最も重要な防御線となる。
公共の場での充電は便利ですが、「念のため自分の充電器を使う」習慣が、あなたの個人情報を守る鍵となるだろう。
