ソフトウェアエンジニアが、DJIの新しいロボット掃除機をビデオゲームのコントローラーで操作しようと真剣に取り組んだ結果、何千人もの家庭をうっかり覗き見る機会を得てしまった。
サミー・アズドゥファル氏は、独自のリモートコントロールアプリを開発する際に、AIコーディングアシスタントを活用し、ロボットがDJIのリモートクラウドサーバーとどのように通信しているかをリバースエンジニアリングしたと報じられている。しかし、彼はすぐに、自分のデバイスを操作できるのと同じ認証情報で、24カ国にある約7,000台の他の掃除機のライブカメラ映像、マイク音声、地図、ステータスデータにもアクセスできることを発見した。バックエンドのセキュリティバグによって、インター��ネットに接続された多数のロボットが悪用され、所有者が気付かないうちに監視ツールに変貌する危険性があった。
幸いなことに、アズドゥファル氏はこの脆弱性を悪用することはなかった。代わりに、彼はThe Vergeに調査結果を共有、The VergeはすぐにDJIに連絡してこの欠陥を報告しました。DJIはPopular Scienceに対し、この問題は「解決済み」であると述べていますが、この劇的な出来事は、インターネットに接続されたロボットやその他のスマートホームデバイスがハッカーにとって魅力的な標的となると長年警告してきたサイバーセキュリティ専門家の警告を改めて浮き彫りにしています。
より多くの家庭が家庭用ロボット(より新しく、よりインタラクティブなヒューマノイドモデルを含む)を導入するにつれて、同様の脆弱性の検出が困難になる可能性があります。 AI搭載のコーディングツールは、技術的な知識が乏しい人でもソフトウェアの欠陥を悪用しやすくし、こうした懸念をさらに増幅させるリスクを秘めています。
巨大なセキュリティホールに陥る
問題のロボットはDJI Romoです。昨年中国で初めて発売され、現在他国にも展開している自律型家庭用掃除機です。販売価格は約2,000ドルで、ベースステーションにドッキングした状態では大型テリアや小型冷蔵庫ほどの大きさです。他のロボット掃除機と同様に、周囲を移動したり障害物を検知したりするのに役立つさまざまなセンサーを搭載しています。ユーザーはアプリを使ってスケジュールを設定したり、操作したりできますが、ほとんどの時間は自動で掃除やモップ掛けを行うように設計されています。
Romo、あるいは現代のあらゆる自律型掃除機が機能するには、動作している建物から常に視覚データを収集する必要があります。また、例えばキッチンと寝室の違いを詳細に理解し、両者を区別する必要もあります。これらのセンサーデータの一部は、デバイス本体ではなく、DJIのサーバーにリモートで保存されます。アズドゥファル氏のDIYコントローラーのアイデアが機能するには、アプリがDJIのサーバーと通信し、彼がロボットの所有者であることを証明するセキュリティトークンを取得する方法が必要でした。
サーバーは単一のトークンを検証するだけでなく、多数のロボットにアクセスを許可し、事実上彼をそれぞれの所有者として扱いました。このミスにより、アズドゥファル氏はロボットたちのリアルタイムカメラ映像にアクセスし、マイクを起動することができました。彼はまた、ロボットが動作している家の2Dフロアプランを作成することができたと主張しています。ロボットのIPアドレスをざっと確認するだけで、ロボットのおおよその位置も判明しました。アズドゥファル氏は、これらのいずれも自身の「ハッキング」には当たらないと主張している。彼は単に重大なセキュリティ問題に遭遇しただけだ。
DJIはPopular Scienceに対し、「1月下旬の社内調査でDJI Homeに影響を与える脆弱性を特定し、直ちに修正に着手しました。この問題は2回のアップデートで解��決されました。最初のパッチは2月8日に、フォローアップアップデートは2月10日に完了しました。修正は自動的に適用され、ユーザーによる操作は不要です。」と語った。
同社はさらに、「セキュリティ強化策を継続的に実施していく」計画だと述べたが、具体的な内容については明らかにしなかった。
住宅所有者はスマートホームのプライバシー保護コストに頭を悩ませている
DJIのセキュリティに関する懸念は、スマートホーム技術の監視機能に対する不安が一般的に高まっている時期に浮上した。今月初め、ペットを探す「サーチパーティー」機能に関する物議を醸した広告が、一部の人々から監視を広範囲に行うためのトロイの木馬だと解釈されたことを受け、Ringカメラの所有者らがソーシャルメディアに殺到した。同時期には、Googleが誘拐捜査に役立てるためNest Doorbellカメラから動画を取得できたという報道(動画は削除されていたとの以前の兆候があったにもかかわらず)が、消費者が自分の機密データを実際にどの程度コントロールできるかという議論を再燃させた。
さらに、米国の両党の議員は長年にわたり、DJIをはじめとする中国のテクノロジーメーカーが独自のセキュリティ上の脅威をもたらしていると警告してきました(https://www.nytimes.com/2025/12/22/us/dji-drones-china-barred-us.html)。こうした主張の根拠は曖昧ですが、それでもなお、特定の中国製製品の禁止を正�当化するのに役立っています(https://www.popularmechanics.com/technology/robots/a69937082/us-bans-new-foreign-made-drones/)。
多くのロボット掃除機やその他のスマートホームデバイスにおいて皮肉なのは、それらが私たちの最もプライベートな空間で稼働しているにもかかわらず、そのカテゴリーとして、セキュリティ対策に疑問が残る長い歴史を持っていることです。あらゆる兆候が示唆するように、一般の人々は近いうちに、家庭にカメラやマイクを減らせるどころか、むしろ増やすことを歓迎するでしょう。市場調査会社Parks Associatesは、2020年時点で、米国の5,400万世帯に少なくとも1台のスマートホームデバイスが設置されていると推定しています。他の調査によると、すでにスマートホームデバイスを1台持っている人は、さらに多くのデバイスを欲しがる傾向があります。
家庭に持ち込まれる機器の種類も高度化しています。まだ初期段階ではありますが、Tesla、図などの企業は、家庭に住み、家事をこなす、人間のような自律型ロボットの開発に競い合っています。1Xという会社はすでにこのようなヒューマノイドロボットを販売しており、食器を洗ったり、クルミ---ただし、人間の助けを借りる必要がある。しかし、いずれこれらの在宅ロボットが効果的に機能するには、所有者の自宅の個人的な情報に前例のないほどアクセスする必要がある。ストーカーやハッカーにとって、それは潜在的な金鉱となる。
しかし、アズドゥファルは約束通り、ジョイスティックでロボットを操作したいだけだったにもかかわらず、この厄介な状況に巻き込まれてしまった。その点では、ミッション完了。