「不審なモジュールを埋め込み可能」USB Type-Cドックの脅威をセキュリティ企業が訴え

　海外のセキュリティ企業が、共有スペースで利用するUSB Type-Cドッキングステーションには不審なモジュールを容易に埋め込めるとして、自社ブログでその危険性を訴えている。

　不審なUSBデバイスをPCに接続するのが危険なのはもはや常識だが、これが既存のデバイスとなるとその警戒心は緩みがち。今回、豪Aura Information Security社が自社ブログで公開したのが、ケーブル1本でPCと接続してさまざまなデバイスを利用できるUSB Type-Cドッキングステーションに、攻撃用のプログラムをインストールしたRaspberry Pi Zero Wを埋め込み、キーストロークの取得やネットワークの盗聴、さらにはHDMIを用いてのスクリーンショットのリモート取得を可能にするというもの。重量は若干増したものの、外見は市販のUSB Type-Cドッキングステーションそのもので、ベンダーIDも偽装していることからハードウェア情報を見てもバレる要素はなく、急速に普及しつつあるUSB Type-Cドッキングステーションの危険性を訴える内容となっている。アイデアから実現までわずか数時間しかかからなかったというこのデバイス、同社ではさしあたっての対策として、共有スペースで利用するこの種のデバイスに注意を払うよう呼びかけている。

• The Threat on Your Desk: Building an Evil USB-C Dock（Aura Research Division）
  https://research.aurainfosec.io/pentest/threat-on-your-desk-evil-usbc-dock/