職場のデスクに置かれた充電ケーブル。会議室で「ご自由にお使いください」と貼られたUSBケーブル。カフェのテーブルに忘れ物のように転がっているケーブル——。もしそれが「ただの充電ケーブル」ではなかったとしたら、あなたは気づけるでしょうか。
海外のクラウドファンディングサイトKickstarterに登場した「Hacknect」というプロジェクトが、いまサイバーセキュリティの世界で大きな話題を呼んでいます。このケーブル、外見はどこにでもあるUSBケーブルそのもの。しかしその内部には、Wi-Fi対応の小型コンピュータが隠されているのです。
ケーブルの中に「コンピュータ」が入っている
Hacknectの内部に搭載されているのは、Espressif Systems製の「ESP32-S3」というチップです。これは240MHzで動作するデュアルコアプロセッサで、512KBの内蔵メモリ、2.4GHz Wi-Fi、Bluetooth 5 LEに対応しています。もはや一昔前のパソコンに匹敵するような処理能力を、あの細いケーブルの中に収めてしまったわけです。
Kickstarterのキャンペーンページによれば、Hacknectは以下のような機能を備えています。
・コンピュータに接続すると「キーボード」として認識され、自動的にコマンドやスクリプトを実行
・ブラウザダッシュボードまたはスマートフォンからワイヤレスで遠隔操作
・microSDカードスロットを内蔵し、隠しファイルの保存が可能
・スクリプトの遠隔実行やタスクの自動化
つまり、誰かのPCにこのケーブルを差し込むだけで、離れた場所からWi-Fi経由でそのPCを操作できてしまう可能性があるということです。
似た製品はすでに存在する——しかも高額
「USBデバイスをキーボードに偽装して攻撃する」という手法自体は、サイバーセキュリティの世界では以前から知られています。代表的なのがHak5社の「USB Rubber Ducky」と「O.MG Cable」です。
USB Rubber Duckyは、見た目はUSBメモリですが、PCに差し込むと「キーボード」として認識され、あらかじめ仕込んだコマンドを毎分1,000語を超える速度で自動入力します。
さらに高機能なO.MG CableのElite版は、毎秒890キーの入力速度に加え、最大300個のペイロード(攻撃用のスクリプト)を保存可能です。Hak5によれば、こうしたケーブルはかつて約20,000ドルもするものであり(NSA=米国家安全保障局が使用したとされる類似ツール「COTTONMOUTH-I」が一例)、同等の技術が民間レベルに降りてきたという事実そのものが、時代の変化を象徴しています。
Hacknectは、これらの先行製品と同様の機能をUSBケーブルの形状に収めたものとして注目されています。
「見た目が普通」であることが最大の脅威
USBメモリ型のRubber Duckyは、少なくとも「USBメモリ」という異物の存在に気づく可能性があります。しかしHacknectの場合、充電ケーブルにしか見えません。これが最も厄介なポイントです。
日常生活を振り返ってみてください。外出先で「ケーブルを貸してもらった」「落ちていたケーブルを拾って使った」という経験がある方は少なくないはずです。しかしそのケーブルの中にWi-Fi対応コンピュータが隠されていたとしたら、接続した瞬間からPCが遠隔操作される危険性があります。
Digital Trendsの記事でも指摘されているように、サイバーセキュリティのツールはかつて開発者向けハードウェアやかさばるガジェットのような見た目でしたが、近年は日常的な物品に偽装される傾向が強まっています。ウイルス対策ソフトやファイアウォールでは、「キーボードとして認識されたデバイス」を悪意あるものとして検出するのは極めて困難です。なぜなら、OS側は正規のキーボード入力と区別する仕組みを持っていないからです。
「倫理的ツール」と「犯罪ツール」の紙一重
Hacknectの開発者は、このケーブルを「倫理的ハッキングおよび教育目的のツール」として位置づけています。確かに、正当な用途は存在します。企業のセキュリティチームが従業員に対して「不審なUSBデバイスを見分けられるか」をテストしたり、実際のサイバー攻撃をシミュレーションするトレーニング演習に使ったりするケースです。
こうした侵入テスト(ペネトレーションテスト)の市場は急成長しています。調査会社Straits Researchによれば、世界のペネトレーションテスト市場は2024年時点で24.5億ドル規模であり、2033年には62.5億ドルに達する見込みです(年平均成長率12.5%)。つまり、Hacknectのような製品の「正当な需要」は確実に存在するのです。
一方で、ツールそのものに善悪はありません。包丁が料理にも犯罪にも使えるように、Hacknectも使う人間の意図次第です。しかし「誰でも購入でき、見た目で判別できない」という特性は、従来のセキュリティツールとは明らかに一線を画しています。
なお、HacknectはKickstarterプロジェクトであり、クラウドファンディング製品には製品化されないリスクもある点は留意が必要です。Kickstarterの累計成功率は約40%とされています。
私たちが「今日からできる」3つの防衛策
こうしたハードウェア攻撃から身を守るために、今日からできることがあります。
① 出所不明のUSBケーブルは絶対に使わない
カフェ、空港、ホテルなどに置かれた「誰のものかわからないケーブル」は使わないでください。充電が必要なら、自分のケーブルかモバイルバッテリーを使いましょう。
② 「充電専用」のUSBデータブロッカーを活用する
USBポートに差し込む小さなアダプタで、電力だけを通しデータ通信を物理的に遮断する「USBデータブロッカー」という製品があります。数百円程度で購入でき、出先で充電する際の防衛手段になります。
③ 職場のセキュリティポリシーを見直す
オフィスのPCに「持ち込みケーブルやUSBデバイスの接続禁止」というルールがなければ、IT部門に確認してみてください。組織レベルでUSBポートの利用制限をかけることも有効な対策の一つです。
「たかがケーブル」と思うかもしれません。しかし、サイバーセキュリティの脅威は、もはやパソコンの画面の向こう側だけに存在するものではなくなっています。机の上に置かれた1本のケーブルが、あなたの個人情報や仕事のデータへの入口になり得る——。Hacknectの登場は、そんな時代がすでに来ていることを私たちに突きつけています。
参考:Kickstarter(Hacknectプロジェクトページ)、Espressif Systems(ESP32-S3製品ページ)、Hak5(O.MG Cable)、Hak5(USB Rubber Ducky)、Straits Research(ペネトレーションテスト市場)、CNX Software、Tom’s Hardware、Statista(Kickstarter成功率)
