自分の最新型ロボット掃除機をゲーム用コントローラーで操縦したい。そんなエンジニアの遊び心が、重大な欠陥を暴いてしまった。
自作プログラムで操作を試みたところ、サーバーの不備によって、24カ国にある他人の家のカメラ映像や音声、間取り図までもが自分の手元で閲覧できる状態になっていたのだ。
その数なんと7000台。意図せず世界中の家庭とつながってしまった事実は、スマート家電の利便性に潜むリスクを浮き彫りにした。
カメラとマイクで遠隔操作できる最新掃除機
ソフトウェアエンジニアのサミー・アズドゥファル氏が、ゲーム用コントローラーで操縦を試みたのは、ドローンメーカーとして知られているDJI社が発売した最新のロボット掃除機「Romo(ロモ)」だ。
ロモの特徴は、ドローンの技術を応用したカメラとマイクを備え、ラジコンのように遠隔操作ができる点だ。
高画質のカメラを搭載しており、外出先からスマホを使って家の中を自由に走り回らせることができる。
ペットの様子を確認したり、留守番中の家族と会話したりできる便利な製品だが、この遠隔操作を支えるDJI社のサーバーに、重大な欠陥が隠れていた。
発覚した認証システムの欠陥
アズドゥファル氏は、コントローラーの信号を掃除機に伝えるための専用プログラムを自作し、通信の仕組みを解析していった。
ところが、自分の掃除機に接続するための認証パスワードを調べていた際、思いもよらない状況に直面する。
自分の掃除機を動かす設定をしたはずが、なぜか世界中で稼働している全く知らない他人の掃除機まで、自分のコントローラーで操作できる状態になっていたのだ。
原因は、DJI社のサーバー側における認証システムの深刻な欠陥だった。
世界24カ国7000世帯のプライバシーが露出
本来、サーバーはユーザーごとに操作できる端末を厳密に制限しなければならない。
しかしDJI社のシステムには、個人の認証情報を送るだけで、他のすべてのユーザーの端末に対しても操作権限を与えてしまうという致命的な脆弱性(セキュリティ上の弱点)が存在していた。
この「誰にでも全端末の合鍵を渡してしまう」ような設計の不備により、アズドゥファル氏の手元には、24カ国、約7000台もの掃除機からライブ映像や音声が流れ込んできた。
他人の家のリアルタイム映像だけでなく、掃除機が記録した正確な間取り図まで閲覧可能で、さらには接続情報からおおよその住所まで特定できるほど無防備な状態だったという。
幸いなことに、アズドゥファル氏はすぐにこの問題を報告し、DJI社は数日以内にサーバー側の問題を修正した。
現在は自動アップデートによってこの欠陥は解消されており、ユーザーが特別な作業を行う必要はない。
スマート家電が抱えるリスク
今回の事件は、生活を便利にするスマート家電が、メーカー側のたった一つの設定ミスでプライバシーをさらけ出すツールに変わってしまうリスクを証明した。
特に、AIツールの普及により、高度な専門知識がなくてもシステムの欠陥を容易に見つけ出せるようになっている点も無視できない。
今後、家庭内に入り込むロボットがより高度で人型に近いものへと進化していく中で、こうした目に見えない脆弱性をいかに防ぐかが大きな課題となるだろう。
カメラやマイクを備えた便利なロボットは、常にネットを通じて情報をやり取りしている。その管理体制にわずかな隙があれば、個人の生活が世界中に露出しかねないのだ。
References: Theverge[https://www.theverge.com/tech/879088/dji-romo-hack-vulnerability-remote-control-camera-access-mqtt] / Popsci[https://www.popsci.com/technology/robot-vacuum-army/]
