DJIロボット掃除機7,000台に誤アクセス：AIコーディングツールで発見されたセキュリティ脆弱性

予期せぬ発見が明かした重大な脆弱性

ソフトウェアエンジニアのSammy Azdoufal氏は、DJIのロボット掃除機をゲームコントローラーで操作するカスタムアプリを開発しようとしていました。AIコーディングアシスタントを使ってデバイスがDJIのクラウドサーバーと通信する仕組みをリバースエンジニアリングした結果、予想外の事実が明らかになりました。

7,000台のデバイスへの誤アクセス

自分のデバイスへのアクセスに使用した認証情報が、24カ国にわたる約7,000台の他のDJIロボット掃除機にも同様に適用されることが判明しました。このバックエンドのセキュリティバグにより、他のユーザーのリアルタイムカメラ映像、マイク音声、室内マップ、デバイスステータスデータへのアクセスが可能な状態でした。デバイスの所有者たちは自宅の内部が露出していたことを全く知りませんでした。

スマートホームデバイスのセキュリティリスク

この事例は、カメラとマイクを搭載したロボット掃除機が単なる家電製品ではなく、潜在的な監視デバイスになり得ることを示しています。特に注目すべきは、この脆弱性がセキュリティの専門家ではなく一般の開発者によって発見された点です。AIコーディングツールの普及でリバースエンジニアリングの参入障壁が下がるにつれ、こうした発見は今後さらに増えると予測されます。