7,000台のロボット掃除機を偶然操作できるようになった男性

 (popsci.com)
5 ポイント 投稿者 GN⁺ 2026-02-23 | 1件のコメント | WhatsAppで共有
  • あるソフトウェアエンジニアがDJIのロボット掃除機をゲームコントローラーで操作しようとして、7,000台の機器へのアクセス権を得てしまった
  • 独自アプリの開発中、AIコーディング支援ツールを使ってクラウド通信方式をリバースエンジニアリングする過程で、同じ認証情報が他の機器にも適用されるセキュリティ上の欠陥を発見
  • これにより、リアルタイムのカメラ映像、マイク音声、地図データなどの機微な情報が24か国の機器で露出しうる状態だった
  • 彼はこれを悪用せず、The Vergeに情報提供し、DJIは直ちにパッチを配布して問題を解決したと明らかにした
  • この出来事は、スマートホーム機器のセキュリティ脆弱性AIツールがもたらしうるリスク増幅を警告する事例として注目されている

DJIロボット掃除機で見つかった大規模なセキュリティ欠陥

  • エンジニアのSammy Azdoufalは、自身のDJI Romoロボット掃除機をゲームコントローラーで操作するためのアプリを開発している途中で問題を発見
    • AIコーディングアシスタントを使って、ロボットとDJIクラウドサーバー間の通信を分析
    • サーバーは単一機器の認証だけを検証せず、ほかの数千台の機器にも同一のアクセス権を付与していた
  • その結果、彼は7,000台以上のロボット掃除機のカメラ、マイク、地図、状態データにアクセス可能だった
    • IPアドレスを通じて機器のおおよその位置情報も確認できた
    • 彼はこれを「ハッキング」ではなく、偶然見つかったセキュリティ問題だと説明した

DJIの対応とセキュリティパッチ

  • DJIは1月末の社内レビューでDJI Home関連の脆弱性を確認し、直ちに修正手続きを開始したと発表
    • 2月8日に第1弾パッチ、2月10日に後続アップデートを自動配布
    • ユーザーの操作なしで問題解決を完了
  • DJIは追加のセキュリティ強化措置を継続して実施する計画だと述べたが、具体的な内容は公開しなかった
  • Azdoufalはこの問題をThe Vergeに通報し、DJIが迅速に対応するよう促した

スマートホーム機器のセキュリティへの懸念拡大

  • 今回の出来事は、インターネット接続型ロボットやスマートホーム機器がハッカーにとって魅力的な標的になりうることを示している
  • 最近ではRingカメラ広告を巡る論争Google Nest映像の復元事例などにより、消費者のプライバシー不安が高まっている
  • 米国では、DJIなど中国製テクノロジー製品のセキュリティリスクを理由に一部製品が禁止された事例もある

スマートホーム普及とプライバシーの逆説

  • 2020年時点で米国内の5,400万世帯がスマートホーム機器を保有
    • いったん導入したユーザーは追加機器を購入しようとする傾向がある
  • Tesla、Figure、1Xなどの企業が家庭向けヒューマノイドロボットを開発中で、一部はすでに販売されている
    • こうしたロボットは家の内部の詳細情報を収集する必要があるため、個人情報の露出リスクが大きくなる

技術発展とセキュリティのバランスという課題

  • AIベースのコーディングツールは開発効率を高める一方、非専門家でも脆弱性を悪用できる可能性を高める
  • 今回の事例は、AI・IoT融合環境におけるセキュリティ管理の重要性を改めて示す出来事と評価されている
  • Azdoufalは最終的に当初の目標だったゲームコントローラーでロボットを操作することには成功したが、その過程でスマートホームセキュリティの盲点を浮き彫りにした

関連記事

1件のコメント

 
GN⁺ 2026-02-23
Hacker Newsのコメント

  • 彼は、自分のデバイス制御用の認証情報で、世界24か国のおよそ7,000台のロボット掃除機のカメラ、マイク、地図、状態データにアクセスできることを発見した
    私も昨年、Mysaスマートサーモスタットでまったく同じ問題を見つけて公開したが、同一の認証情報で全デバイスを制御できた
    関連内容は以前のHNスレッドにまとまっている

    • こうした装置は事実上、完璧なスパイ道具になり得る
      安価な掃除機が家の中を覗き見できるというのは恐ろしく感じる
    • スマートサーモスタットの話が特に怖い
      うちのHaierのミニスプリットもGE Homeアプリ経由でWiFi接続され、GE Cloudにデータを送っている
      一度試したあと、すぐにWiFiパスワードを変更して二度と接続しなかった
      そのうちESP32とセンサー、IR送受信機で自前制御するつもりだ
      こういうシステムに脆弱性があれば、攻撃者が電力需要の急増を引き起こせるかもしれないと思う
    • 製造過程で各デバイスに固有キーを入れずにコスト削減したのではないかと疑ってしまう

  • もうプライバシーを諦める状態になっている気がする
    人々は、家の中のカメラが外部サーバーにつながることを当たり前のように受け入れている
    気にする少数派は多数派に埋もれてしまう
    結局、プライバシーを心配する人だけが損をする構造だ

  • うちのRoombaは毎日午後5時に動くよう設定してあるのだが、何度も7時にひとりで目を覚まして寝室に入り、5〜10分とどまって戻っていく
    理由がまったくわからない

    • 掃除でもしているのだろうか
      文字どおりベッドの横に立ってからまた戻っていくように聞こえる

  • しばしの間、一人の人間が人類史上誰よりも多く吸い込んだ瞬間があった
    (ロボット掃除機の件をユーモラスに表現した言い方だ)

  • 私はインターネット接続のない機器を好む
    基本機能はオフラインでも安定して動作すべきで、インターネットはオープンなセキュアプロトコルを通じて追加機能だけを提供するのが理想だ
    そうすれば自分で実装することもできる

  • 10年前、スタートアップで401kの提供事業者を使っていたとき、ログインしたら同僚の口座情報が見えたことがある
    アカウント分離が完全に壊れているレベルだった
    面食らったが、私生活の露出を防ぐため静かにやり過ごした
    今思えば、もっと積極的に問題提起すべきだった

    • 私も普段は慎重さを保とうとする
      だが相手が不誠実に対応するなら、そのときは公に問題を知らせる価値があると思う

  • 技術の進歩のおかげで、今ではスティーヴン・ライトのジョークのように、
    「何の機能もないスイッチを入れたらドイツから電話がかかってきた」ということがインターネット規模で現実化したわけだ

  • 元記事: The Verge - DJI Romoのハッキング脆弱性
    関連するHNの議論: リンク

  • 私はわざとカメラやマイクのないモデルを買った

    • うちのEufyは、すべての処理をローカルで実行すると主張している
      実際に確認したわけではないが、データの地域性とプライバシーに言及した唯一の中国ブランドだったので選んだ
      もちろん、ファームウェア更新でいつでも変わり得ることはわかっている
      それでも価格対品質が良くて満足している
    • 昔のRoombaのランダム移動方式は過小評価されていたと思う
      見た目には非効率でも、実際の清掃性能はかなり良かった
    • こうしたカメラなしモデルでも自動ゴミ収集機能付きのものがあるのか気になる
    • 本当にカメラやマイクがないのか確認する方法があるのか聞いてみたい
    • スマートフォンにもマイクはあるが、それは平気なのかと聞き返したくなる

  • 少しでも技術に明るい人なら、Valetudo対応の掃除機を買って標準ソフトウェアを置き換えるのがよいと思う
    Valetudo公式サイト

    • だが、そのサイトの「Why Not Valetudo」ページを見て考えが変わった
      私は技術に明るいが、ロボット掃除機を使う理由は時間を節約してより価値のあることをするためだ
      Valetudoはその目的に合わない
      素晴らしいプロジェクトだが、誰にとっても最良の選択ではない
    • 技術に不慣れな人のために、Claudeが設定を手伝えるのか気になる