Malwarebytesは2月17日(米国時間)、「Hobby coder accidentally creates vacuum robot army|Malwarebytes」において、中国に拠点を置くドローン製造企業「DJI(大疆创新科技有限公司)」のロボット掃除機「Romo」からライブカメラ映像を含む個人情報が流出したと報じた。
一部の通信が十分に保護されておらず、1台のデバイスを認証すると、他のデバイスの通信を閲覧できるという。
-
Hobby coder accidentally creates vacuum robot army|Malwarebytes
データ流出の発見に至った経緯と影響
今回の件はソフトウェア開発者の趣味の工作により発見された。ゲームコントローラーでロボット掃除機を操作できたら楽しそうだと思い立ち、AIコーディングツール「Claude Code」を使用して通信プロトコルをリバースエンジニアリングしたところ、24カ国、約7000台のロボット掃除機の応答を受信したとされる。
受信データにはライブカメラ映像、内臓マイクの音声が含まれ、家の間取りも入手可能と見られる。データ流出の原因は軽量メッセージプロトコルMQTT(Message Queuing Telemetry Transport)の不十分な保護とされる。
これはプロトコル自体に不備があるのではなくアクセス制御に問題があり、1台のデバイスを認証するだけで、すべての通信トラフィックの平文受信が可能とされる。この不具合はロボット掃除機に限定されず、DJIの他の製品にも及ぶことが確認されている。
不要な機能を搭載するIoT機器のリスク
DJIは開発者および協力者の報告を受けて制限を強化。本稿執筆時点で、所有するデバイスを含めアクセス制限を実施したことが確認されている。しかしながら、DJIは引き続きカメラおよび音声データを無制限に取得することが可能とみられている。
Malwarebytesは過去にも同様の不具合が中国企業の製品から発見されていると指摘。「教科書通りの欠陥を抱えた掃除機を出荷している」と述べ、故意の可能性を示唆する意見を伝えている。
掃除機になぜかマイクが装備
公開されたライブカメラ映像のサンプルを確認すると、床面だけではなく部屋全体を見渡せる画角となっていることがわかる。不具合を発見した開発者は「掃除機にマイクが付いているのは変だ」と述べ、コスト増の要因となる不要な機能の搭載に不信感を抱いたことを明らかにしている。
マイク搭載が故意か偶然かは定かでないが、繰り返される脆弱性の発見を受け、近年では世界的にIoT製品の規制強化が進められている。欧州連合(EU: European Union)は設計段階からのセキュリティを義務づけ、違反すると罰金の可能性がある。
ユーザーにはIoT製品のネットワーク分離および不要な機能を無効化することが推奨されている。しかしながら、不要な機能を遠隔起動できる製品も発見されており、完全な対策は困難とみられている。
Windows 11のプリンタドライバー(旧式)を廃止へ、要注意
