DJIが初めて投入したロボット掃除機「Romo」に、深刻なセキュリティ上の欠陥が見つかりました。あるセキュリティ研究者が偶然発見した脆弱性により、数千台のRomoへ遠隔アクセスが可能だったことが明らかになっています。
きっかけは「PS5コントローラーで操作したい」
問題を発見したのは、AI戦略部門を率いるサミー・アズドゥファル氏です。発端は単純な好奇心でした。自身のDJI RomoをPlayStation 5のコントローラーで操作できないか試したことがきっかけだったといいます。
しかし調査を進めるうちに、わずか14桁のシリアル番号さえ分かれば、ほぼ誰でも任意のRomoへアクセスできる状態にあることを突き止めました。
カメラ映像や位置情報にもアクセス可能
近年のロボット掃除機は単に床を掃除するだけの機器ではありません。多くの機種にカメラやマイクが搭載され、室内マッピングや障害物認識などの機能を備えています。
今回の脆弱性では、遠隔からライブカメラ映像を閲覧できるだけでなく、IPアドレスをもとに大まかな設置場所を特定することも可能だったと報じられています。実際に海外メディアが検証を行ったところ、提供されたシリアル番号から該当機体を特定し、バッテリー残量や清掃状況などの情報を確認できたといいます。
単なる遠隔操作の問題にとどまらず、プライバシー侵害につながりかねない深刻な内容です。
DJIは数週間以内に修正へ
DJIはこの問題を認識しており、数週間以内に修正パッチを配信するとしています。また、詳細が公表されていない別の脆弱性についても、今後のアップデートで対処する予定とのことです。
RomoはDJIにとって初のロボット掃除機製品です。新たな製品カテゴリーへ参入する際、セキュリティ面で課題が露呈するケースは珍しくありません。過去にも他社のスマートホーム機器で同様の問題が発覚した例があります。
今回の件は、IoT機器が家庭内に広く浸透する中で、利便性と同時にセキュリティ対策の重要性が一層高まっていることを改めて示す出来事となりました。早期の対策と再発防止策が求められています。
