スペインのエンジニアが、中国企業DJI製ロボット掃除機のセキュリティ上の欠陥を発見し、世界各国で稼働する7000台以上の機器に不正アクセスできたと明らかにした。
米IT専門メディアThe Vergeによると、ソフトウェアエンジニアのサミ・アズドゥパル氏は最近のインタビューで、新たに購入したDJI製機器をゲームパッドで操作できるようリバースエンジニアリングしていた際、セキュリティ上の脆弱性を発見したと語ったとのことだ。
アズドゥパル氏が自ら開発した遠隔操作アプリを通じてDJIのサーバーに接続すると、多数のロボット掃除機が応答したという。同氏は「1台だけではなく、24カ国で稼働する約7000台の掃除機が、まるで私を上司のように認識して動き始めた」と説明した。
問題は、遠隔操作が可能だったことにとどまらない。アズドゥパル氏が機器から取得したメッセージは10万件を超え、搭載カメラを通じてリアルタイムの映像や音声が取得できる状態だった。一般家庭のプライバシーがそのまま外部にさらされる恐れがあったほか、インターネット・プロトコル(IP)アドレスから利用者のおおよその位置を特定することも可能だったという。
実際、ある記者が検証のため自宅で使用しているDJI製ロボット掃除機のシリアル番号を伝えたところ、アズドゥパル氏は自宅のリアルタイム映像やバッテリー残量、さらに掃除機が作成した室内の間取り図まで把握できたという。
アズドゥパル氏は「意図的にハッキングしようとしたわけではない。最初は好奇心から始めた」と述べ、「The Vergeに連絡したのは、このセキュリティ上の脆弱性を公にするためだ」と説明した。
事件が報じられると、中国企業DJIは、この問題を報じたThe Vergeとポピュラーサイエンスに対し、「問題はすでに解決した」と説明した。しかし、アズドゥパル氏は、その後も一部の脆弱性が残っており、セキュリティ上の懸念は完全には解消されていないと指摘した。
アズドゥパル氏は「今回の事例は、スマートホーム機器やロボットがハッカーの標的となり得ること、さらにはすでに侵害されている可能性すらあることを示す警鐘だ」と述べた。
英サリー大学のコンピューター科学者、アラン・ウッドワード教授は、英紙ガーディアンのインタビューで、「同様の事例はこれまでも報告されている。技術革新は急速に進んでいるが、セキュリティは後回しにされがちだ」と指摘。その上で「メーカーは脆弱性を正確に把握し対策を講じる必要があり、消費者もスマート機器の利便性が個人情報侵害のリスクを上回るかどうかを慎重に判断してほしい」と述べた。
コメント1
頭にアルミホイル巻いてそう ジャンボタニシとか好きそう 中国製ル○バ警戒してそう←new!