皆さんはiPhone用のケーブルを購入する際、「MFi認証商品」「メーカー」「価格」など様々な要素で商品選びを行うと思うのですが、今後は安易に知らないメーカーのケーブルを購入するのすら危ないかも知れません。
IT企業で働く「_MG_」というユーザーがこの度、何の変哲もないケーブルで接続されたMacを遠隔操作してみせたのです。
ハッキングやマルウェア感染の恐れ
「_MG_」はこれまでに、「PCをハッキングする充電器」や「PCを破壊した後に爆発するUSBメモリ」などを開発し、世界中でニュースとして取り上げられた実績があります。
そんな彼が今回開発した「O.MGケーブル」はぱっと見ただのiPhone用USBケーブルなのですが、なんと接続されたPC(動画ではMacbook)を遠隔で操作し、IDやパスワードを盗むフィッシングページを強制表示させたのです。
You like wifi in your malicious USB cables?
The O•MG cable
(Offensive MG kit)https://t.co/Pkv9pQrmHtThis was a fun way to pick up a bunch of new skills.
Not possible without help from: @d3d0c3d, @cnlohr, @IanColdwater, @hook_s3c, @exploit_agency #OMGCable pic.twitter.com/isQfMKHYQR
— _MG_ (@_MG_) 2019年2月10日
彼はこのUSBケーブルを作るために約4,000ドル(約44万円)と300時間を使い、専門知識などゼロの状態でここまで危険なケーブルを作り上げたとの事。
彼の説明によれば、普通のケーブルとの違いは1cm四方程度の銅製プリント基板をPC接続側の端子に忍ばせるだけで、ほぼ全てのUSB接続商品に仕込む事が可能である事がわかります。
動画ではスマホの専用アプリで遠隔操作するだけに終わっていますが、他にも下記のような機能があるとの事。
- マルウェアやウイルスのインストール
- PCシステムへの攻撃
- マウスシュミレートでスリープ防止
- 近くのWi-Fiスポットへの単体接続
PCから電力を供給するだけでこれだけの動作を行うというのは、普通の人から見れば考えられない脅威ですね。
彼は別に面白半分や犯罪転用のためにコレらの技術開発を行っているのではなく、あくまでセキュリティ研究者や多くの消費者へこういった脅威がある事を知らせるため、だそうです。
確かにIT企業に従事しているとはいえ、たった約4,000ドルと300時間でこれだけ危険な製品を個人が開発できる世の中ですから、悪意ある企業が量産して販売しても不思議ではないでしょう。
これからは信頼のおける有名メーカーや、「MFi認証商品」などの公式から機能などを保証された商品以外は、例え安くて性能が良さそうでも使用するのは危険なのかも知れません。
まとめ
ケーブル選びと言えばこれまで、「耐久度」や「価格」などが特に注目されていましたが、安物買いで個人情報が盗まれたり、接続PCが破壊されたりする可能性もあるので、「メーカー信頼度」が大きなファクターになりそうですね。
こんな物が世に出回らないのが一番なのですが、個人でここまでの完成品を簡単に作れる以上今後購入するケーブル類にも細心の注意が必要そうです。
