IoTセキュリティの歴史に刻まれるであろう、あまりにも鮮やかな「オウンゴール」が発生した。あるソフトウェアエンジニアが、世界24カ国にまたがる約7,000台ものDJI製ロボット掃除機に対する「神の権限(ゴッドモード)」を、図らずも手に入れてしまったのだ。リサーチャーのSammy Azdoufal氏は、決してロボットによる反乱を企てていたわけではない。彼はただ、手に入れたばかりの、そして呆れるほど高価な「DJI Romo」をPlayStation 5のコントローラーで操作したかっただけなのだ。理由は至ってシンプル、「それができるはずだから」である。
この現代的な夢を実現するため、Azdoufal氏はAIコーディングアシスタントを駆使して、ロボットの通信プロトコルをリバースエンジニアリングした。自身のデバイスの認証トークンを抽出することに成功し、いざDJIのサーバーに接続。ところが、応答を返してきたのは彼専用の「床掃除の召使い」だけではなかった。なんと、約7,000台ものロボット軍団が彼の呼びかけに応じたのだ。この脆弱性により、彼は見ず知らずの数千人のユーザーの自宅のライブカメラやマイク、リアルタイムの2D間取り図、さらにはデバイスの詳細なステータスにまでアクセス可能な状態になっていた。
問題の根源は、笑ってしまうほど単純で、かつ壊滅的なセキュリティ上の見落としだった。DJIのバックエンドサーバーは、ユーザーのトークンこそ認証していたものの、「そのユーザーが、アクセスしようとしている特定のデバイスを実際に『所有』しているか」を確認するという、極めて重要なステップを飛ばしていたのだ。いわば、有効な鍵が一本あれば、世界中のどのドアでも開けられてしまうような状態である。Azdoufal氏は「ルールを破ったわけでも、バイパスしたわけでも、クラックやブルートフォース(総当たり攻撃)を仕掛けたわけでもない」と語っており、ただ大きく開け放たれたデジタルの玄関口から足を踏み入れたに過ぎないことを強調している。
なぜこれが重要なのか?
この一件は、現代のIoTデバイスが抱える危うさを象徴する教科書的な事例だ。カメラやマイクを備え、私たちのプライバシーの核心である「自宅」に深く入り込む製品が、時として網戸一枚程度のセキュリティで守られているという現実を突きつけている。世界規模のプライバシー侵害に発展する恐れもあったが、Azdoufal氏が倫理的なリサーチャーとして責任ある行動を取り、この脆弱性を報告したことで最悪の事態は免れた。
DJI側の対応も、賞賛に値するほど迅速だった。報告を受けた同社は、わずか2日以内にサーバー側の修正(パッチ)を適用。ユーザー側に一切の手間をかけさせることなく、この致命的な穴を塞いだ。そもそもなぜこれほど初歩的なミスが製品版に紛れ込んでしまったのかという疑問は残るが、このスピード解決は一つの模範といえるだろう。他のIoTメーカーにとっても、「玄関に鍵をかけるだけでなく、その鍵が近所中の家で使えないか確認せよ」という、身につまされる教訓となったはずだ。
