DJI Romoロボット掃除機の脆弱性 - 7000台のカメラ遠隔操作問題

DJI Romoロボット掃除機の脆弱性の全貌

DJIのロボット掃除機Romoに重大な脆弱性が発見されました。約7000台のカメラに遠隔アクセスできる状態だったのです。しかも、24カ国以上のデバイスが影響を受けています。そこで今回は、この脆弱性の詳細と対策を解説します。

発見者は技術者のSammy Azdoufal氏です。自分のRomoを調査中に問題を発見しました。しかし、その影響範囲は予想を遥かに超えていました。つまり、個人の好奇心が重大な脆弱性の発見につながったのです。

具体的には、APIの認証バイパスが可能でした。また、デバイスIDの推測が容易だったことも問題です。さらに、ファームウェアの解析で通信プロトコルの弱点も判明しました。そのため、攻撃者はライブ映像にアクセスできる状態でした。実際、間取り図のデータまで取得可能でした。

この脆弱性で漏洩する情報は深刻です。たとえば、カメラのライブ映像が閲覧可能でした。また、SLAM機能が生成する間取り図も取得できました。しかも、音声データまで傍受できる状態です。

さらに、ユーザーの生活パターンも把握可能でした。具体的には、掃除スケジュールから在宅時間が推測できます。つまり、空き巣の情報収集にも悪用される恐れがありました。そのため、プライバシーへの影響は極めて大きいです。特に、寝室や浴室に掃除機がある場合はリスクが高いです。

DJIは報告を受けてファームウェアアップデートをリリースしました。しかし、対応の速度については批判もあります。なぜなら、報告から修正までに一定の時間がかかったからです。つまり、脆弱性の公開前に修正が完了していなかった可能性があります。

また、影響を受けたユーザーへの個別通知も限定的でした。さらに、過去にデータが漏洩したかどうかの調査結果も公表されていません。そのため、透明性に課題が残ります。なお、他のIoTメーカーも同様の問題を抱えている可能性があります。

対策はいくつかあります。まず、ファームウェアを最新版に更新することが最優先です。また、掃除機のカメラ機能を使わない設定も検討しましょう。さらに、IoTデバイス専用のネットワーク分離も有効です。

具体的には、VLANやゲストネットワークでIoTを隔離します。しかし、すべてのユーザーが技術に詳しいわけではありません。そのため、メーカー側のセキュリティ強化が本質的な対策です。特に、IoT製品の購入時にはセキュリティ対応の実績を確認することが重要です。

DJI Romoの脆弱性は7000台のカメラが遠隔操作可能だった深刻な問題です。ライブ映像や間取り図まで漏洩するリスクがありました。しかし、ファームウェア更新とネットワーク分離で対策可能です。特に、IoT製品のセキュリティ意識を高める契機として捉えましょう。