スペインのエンジニアが偶然に7000台のDJI掃除ロボットを「乗っ取り」、スマート家電のセキュリティに再び脆弱性
スマートホームデバイスは生活の便利さをもたらす一方で、セキュリティの裏口を開く可能性もあります。最近、スペインのソフトウェアエンジニアが偶然発見したところによると、彼は世界中約7,000台の掃除ロボットをリモート操作でき、リアルタイム映像の閲覧や大量のデバイス情報の収集も可能でした。スマートホーム市場は2032年に1,390億ドルに達すると予測されており、産業の急速な成長の背後で、安全対策が革新のスピードに追いついているかどうかが重要な課題となっています。
掃除ロボットの改造中に世界的な脆弱性を発見
テクノロジーメディア《The Verge》の報告によると、この事件はスペインのソフトウェアエンジニア、Sammy Azdoufalの実験から始まりました。彼はもともと、新購入したDJI Romba掃除ロボットの逆アセンブルを行い、PlayStation 5のコントローラーを使って操作できるようにしようと考えていました。
しかし、自作のリモートコントロールアプリとDJIのサーバーを接続したところ、予想外の展開が起きました。1台だけでなく、世界中の約7,000台のロボットが「彼を所有者」として認識し、応答したのです。
Azdoufalは、デバイスのリアルタイムカメラ映像の閲覧や音声の聴取だけでなく、10万件を超える異なるロボットからのメッセージデータを収集できることを発見しました。さらに驚くべきことに、ロボットのIPアドレスからおおよその位置情報を推測することも可能でした。
これは、同じアクセス証明書を持つ者が、他のユーザーのデバイスを大規模に制御できる可能性を示しています。
DJIの対応:脆弱性は修正済み、Azdoufalは訴追を懸念
注目すべきは、Azdoufalは悪意はなく、他のデバイスへの不正侵入も意図していなかったと述べていることです。彼は積極的にこの脆弱性を報告し、問題の認識と修復を求めました。
DJIはその後、問題は解決済みであると確認し、コミュニティプラットフォームX上でAzdoufalへの感謝を公表しました。
DJIは次のように述べています:「あなたの責任あるフィードバックは私たちにとって非常に貴重です。」
AzdoufalもX上でユーモラスに応じ、「the vacuum guy」と自己紹介し、多くの人から無料の掃除ロボットを提供される冗談も交えました。
しかし、メディアの報道が相次ぐ中、AzdoufalはDJIが彼に対して訴訟を起こす可能性も懸念しています。
セキュリティ専門家の警告:スマートデバイスの安全性はしばしば見落とされる
実際、これは一例に過ぎません。イギリスのサリー大学(University of Surrey)のコンピュータ科学教授、Alan Woodwardは、多くのスマート製品メーカーが製品開発の初期段階で「革新」と「市場獲得」を優先し、安全性は後付けの選択肢になりがちだと指摘しています。
Woodwardは、産業界は「迅速な行動と常識破り」の精神を持ち、より安価で多機能な新製品を市場に投入しようとしていますが、ソフトウェア開発の早期段階で安全設計を怠ると、最終的に脆弱性の代償を払うことになると述べています。
彼は、スマートデバイスの安全性問題は単一のソフトウェアコンポーネントの誤りだけでなく、システム全体の設計問題であると指摘し、具体的には以下の点を挙げています。
・デバイスのソフトウェアとクラウドサーバーの連携方法
・サーバーとスマホアプリの接続方法
・異なるユーザーを隔離する認証メカニズムの有効性
これらのいずれかに設計上の欠陥があれば、連鎖的なリスクが生じる可能性があります。
スマートホーム市場の爆発とともにリスクも増大
調査機関MarketsandMarketsのデータによると、世界のスマートホーム市場は2032年に1,390億ドルに達すると予測されています。スマート照明、ドアロック、監視カメラ、ベビーモニター、暖房システムなど、さまざまなデバイスが家庭生活に急速に浸透しています。
しかし、《Journal of Information Security and Applications》の研究によると、ハッカーはすでに以下のシステムを制御に成功しています。
・照明システム
・電子ドアロック
・セキュリティカメラ
・ベビーモニター
・暖房システム
掃除ロボットの事件はその一例に過ぎません。デバイスがインターネットに接続されるほど、潜在的な攻撃面も拡大します。
脆弱性の根源:デフォルト証明書と権限隔離の不足
この掃除ロボット事件では、Azdoufalが他のデバイスを制御できたのは、彼の装置の証明書が他のロボットにアクセスできたためです。
Woodwardは、企業はユーザーに対し、初回起動時に専用のパスワードを設定させることを義務付けるべきだと提案しています。統一されたまたは推測可能なデフォルト証明書の使用は避けるべきです。同時に、開発チームはシステムがどのように侵入され得るかを全面的に理解し、単一のモジュールだけに焦点を当てるのではなく、全体の安全性を考慮すべきだと述べています。
彼は、セキュリティは単なるプログラミングの一部ではなく、製品設計文化の一部であると強調しています。
消費者も警戒を高める必要がある
企業側の責任に加え、消費者もスマートデバイスがもたらすプライバシーリスクを慎重に評価すべきです。
Woodwardは、「できるからといって、やるべきだとは限らない」と述べています。
スマート家電は確かに生活を便利にしますが、カメラやマイク、位置情報を持つデバイスが悪用された場合、その結果は予想を超えることもあります。
この記事は、「スペインのエンジニアが偶然に7,000台のDJI掃除ロボットを制御」、「スマート家電のセキュリティ脆弱性再び」と題し、最初に鏈新聞ABMediaに掲載されました。