DJI Romoのセキュリティ脆弱性とは?何が起きたのか
2026年2月、DJI初のロボット掃除機「Romo」に深刻なセキュリティ脆弱性が発覚しました。一人のセキュリティ研究者が、自分のRomoをPlayStation 5のコントローラーで操作しようとしたところ、世界中の約7,000台のRomoに同時にアクセスできてしまったんですよね。
しかも、これはサーバーへの不正侵入ではありませんでした。自分のデバイスの認証トークンを使っただけで、他人のロボット掃除機のカメラ映像やフロアマップ、位置情報まで取得できてしまう状態だったそうです。
DJI Romo脆弱性の技術的な仕組み
問題の根本は、MQTTプロトコルの認証設計にありました。MQTTはIoTデバイスで広く使われている軽量通信プロトコルですが、DJIのサーバー側でアクセス制御が適切に実装されていなかったようです。
具体的には、一つのデバイストークンで認証すると、同じMQTTブローカーに接続している全デバイスのメッセージを受信できてしまう構造になっていました。各デバイスは3秒ごとにシリアル番号、清掃中の部屋、バッテリー残量、障害物情報などを送信しており、それが全て筒抜けだったわけです。
さらに深刻なのは、ライブカメラ映像へのアクセスでした。セキュリティPINを完全にバイパスして、遠隔からカメラ映像をリアルタイムで視聴できたと報告されています。これは家庭内のプライバシーに直結する重大な問題ですね。
影響範囲はどれくらい深刻だったのか
発見者のライブデモでは、わずか9分間で24カ国にまたがる6,700台のDJIデバイスが検出され、10万件以上のメッセージが収集されました。DJI Powerポータブル電源を含めると、1万台以上のデバイスがアクセス可能な状態でした。
取得できた情報は以下の通りです。
- ライブカメラ映像とマイク音声
- 家全体の2Dフロアマップ(部屋の形状とサイズ付き)
- デバイスのIPアドレスから推定される位置情報
- 清掃スケジュールと行動パターン
- シリアル番号から特定個人のデバイスを狙い撃ち可能
ただし、発見者は悪用目的ではなく、DJIに報告して修正を促しています。米国、中国、EUの各サーバーに同じ問題があったとのことで、グローバルな影響範囲でした。
IoTデバイスのセキュリティ問題は繰り返される
この問題はDJI Romoに限った話ではありません。IoTデバイスのセキュリティ脆弱性は、Sonosスピーカーの脆弱性やスマートスリープマスクのMQTTデータ漏洩など、定期的に報告されています。
共通しているのは、「デバイスメーカーがクラウド側のアクセス制御を適切に設計していない」という構造的な問題です。ハードウェアの品質は高くても、バックエンドのセキュリティが甘いケースが多いんですよね。
また、興味深いのは今回の発見者がClaude Codeを使ってDJIのプロトコルをリバースエンジニアリングした点です。AIコーディングツールの進化により、セキュリティ研究のハードルが下がっている一方で、悪意ある攻撃者にも同じツールが使えるという現実があります。
DJI Romoユーザーが今すぐやるべき対策
DJIはすでにパッチを適用済みと発表していますが、ユーザー側でも対策を取っておくことをおすすめします。
まず、ファームウェアを最新版に更新してください。次に、不要な時はカメラ機能をオフにすることを検討してみてください。また、ロボット掃除機のWi-Fiネットワークを他のデバイスと分離するのも効果的です。IoTデバイス専用のVLANやゲストネットワークを使うと、万が一デバイスが侵害されても被害を限定できます。
そもそもカメラ付きロボット掃除機が本当に必要かを考えてみるのも大事かもしれません。LiDARのみのモデルなら、仮にハッキングされても映像を覗かれるリスクはありません。
まとめ:IoT時代のセキュリティリテラシー
DJI Romoの脆弱性は、便利さとプライバシーのトレードオフを改めて突きつける事例でした。Chrome拡張機能のスパイウェア問題もそうですが、信頼できるメーカーの製品でもセキュリティを盲信しないことが重要です。
IoTデバイスを選ぶ際は、メーカーのセキュリティ対応実績やバグバウンティプログラムの有無もチェックポイントにしてみると良いかもしれません。今回のDJIは迅速にパッチを提供した点は評価できますが、そもそもリリース前に防ぐべき問題だったのは間違いありませんね。
参考リンク: