きっかけは、あるエンジニアが「自分のRomoをPlayStation5のコントローラで動かしたい」という軽い実験からでした。しかし通信の仕組みを解析する過程で、なんと世界中のRomo約7,000台以上にリモートアクセスできてしまう重大な脆弱性が明らかになったのです。
目次
PS5コントローラ実験から露呈した“世界規模の脆弱性”
この脆弱性を発見したのは、スペイン在住のソフトウェアエンジニアです。彼は自宅のDJI RomoをPS5コントローラで動かすため、AI支援ツールを利用してRomoとDJIクラウドの通信プロトコルを解析しました。
RomoはDJIクラウドとリアルタイム通信を行う際に「MQTT」という軽量プロトコルを利用します。本来はデバイスごとに固有の認証が行われるはずですが、実際には認証したクライアントが全てのRomoから送信されるメッセージをまとめて購読できてしまう状態でした。
その結果、世界24か国以上に存在するRomo約7,000台以上のデータが見えてしまうという、IoT機器としては極めて重大な問題が発生していたことになります。
アクセス可能だった情報:カメラ映像、マイク音声、間取り図まで
問題となったのは、単に掃除機を遠隔操作できるというレベルではありません。実際には次のような機密性の高いデータにアクセスできる状態でした。
- Romo搭載カメラのライブ映像
- 内蔵マイクのリアルタイム音声
- 掃除機が生成する室内の2D間取りマップ
- バッテリー残量・位置情報・稼働ステータスなどのテレメトリデータ
これらの情報は、その家庭の生活パターンやレイアウトを丸裸にするものであり、悪用されれば侵入・ストーキングなどに利用され得る極めてセンシティブなデータです。
DJIの対応:パッチ適用済みだが“不安は残る”という指摘も
脆弱性を報告した後、DJIは複数回のセキュリティアップデートを実施したと説明しています。しかし一部の研究者は「依然として別の問題が残っている」と指摘しており、クラウド通信の設計思想自体に不安が残るとの声もあります。
DJIは過去にも外部研究者から複数のセキュリティ問題を指摘されてきましたが、そのたびに「すでに修正済み」「セキュリティとプライバシーを最優先している」と声明を発表しています。
DJIには過去にも複数のセキュリティ問題が指摘されていた
今回のRomo脆弱性は初めてのケースではなく、DJIは以前から以下のような問題を指摘されてきました。
クラウドプラットフォームのアカウント乗っ取りリスク(2018年)
外部研究者により、ユーザーの写真・動画・飛行ログ・個人情報などが不正アクセスされる可能性がある脆弱性が報告されました。
アプリの権限要求とデータ送信の不透明性(2020年)
スマホアプリの過剰な権限要求や、データ送信に関する不透明性が批判され、プライバシー上の懸念が指摘されました。
DroneIDの追跡可能性問題
ドローン識別技術「DroneID」が第三者に傍受され、操縦者の位置情報が漏れる可能性があると研究者が警告しました。
セキュリティ評価レポートでの総合的懸念(2025年)
サプライチェーン、クラウド構造、アプリ権限など複数ポイントが疑問視され、全体として「注意が必要なエコシステム」と評価されています。
今後DJI製品を使う際の注意点
DJI製品を完全に否定する必要はありませんが、次のポイントを徹底することで安全性を大幅に高めることができます。
ファームウェアとアプリを常に最新に保つ
更新を放置せず、最新のセキュリティパッチを確実に適用することが重要です。
カメラ付きデバイスの設置場所を見直す
寝室・子ども部屋などプライバシー性が高い場所は避けることを推奨します。
IoT機器用の独立したWi-Fiネットワークの利用
ゲストWi-FiやVLANでネットワークを分離し、他の機器への侵害を防ぎます。
不要なクラウド機能はオフにする
遠隔操作機能、外出先からのアクセスなど、不要な機能は無効化することでリスクを削減できます。
強力なパスワードと2段階認証を徹底
アカウント乗っ取り対策として必須の基本設定です。
まとめ
今回のDJI Romo脆弱性は、スマート家電が持つ潜在リスクを象徴する重大な事件でした。便利さと引き換えに、個人のプライバシーや家庭内部の情報が外部に漏れ得るという事実を示しています。
今後はユーザー自身も、ネットワーク設定、アプリ権限、カメラの設置場所など「家庭のサイバーセキュリティ」を意識した使い方が求められます。
DJIの製品を利用する場合は、本記事で紹介した対策を元に、安全な運用を心がけることが重要です。
これって ドローンでも同じようなことが起きているんじゃないの?
と言われても仕方がないよね・・・
中国政府が関わっていないことを信じたいのだが・・・