DJIドローンにまさかの脆弱性

DJIが2017年8月に発表した、セキュリティ脆弱性の発見者に対する最大3万ドルの報酬制度。早速この制度に該当するような複数の脆弱性が発見され、DJIは報酬の支払いを伝えたものの、発見者は報酬の受け取りを拒否するという意外な展開を見せています。

多数見つかった脆弱性

ZDNnetの報道によると、DJIが一般のフォーラムにAWS（Amazonのクラウドサービス）の認証から暗号化通信に利用するSSLのキーまでを残していたことを、研究者のFinisterre氏が発見。またGitHubにはなんと、HTTPSドメインに関するキーが4年間も公開されっぱなしだったそうです。さらに、暗号化方式のAESに関するキーも公開されていました。

発見者はまさかの報酬受取拒否

これらのデータが悪人に利用されると、DJIのドローンに関するデータを盗み出したり、システムをダウンさせたり、あるいはもっと重大な事態に繋がる可能性があったそうです。そしてDJIは3万ドルの支払いをFinisterre氏に提案したものの、同社が同時に要求した守秘義務契約には同意できないとして、報酬の受け取りを拒否したのです。

DJIによるセキュリティ脆弱性に対する報酬制度は「The DJI Threat Identification Reward Program」とよばれ、深刻度に応じて100ドル〜3万ドルの報酬が支払われます。このような報酬制度はソフトウェア業界では一般的で、DJIも自社製品の安全性を向上させるために制度を取り入れました。ただし今回の顛末を見るに、その運用はまだまだ改善の余地がありそうです。

DJI製品は民生用ドローンとしてだけでなく、軍事分野を含めた研究目的でも利用されています。しかし、米陸軍はそのセキュリティ上の安全性が担保できないとして、DJI製ドローンの利用を禁止。一方DJIは直接の関連性については言及していないものの、ドローンソフトウェアに外部との通信を行わない「ローカルデータモード」を搭載するなど、対応を進めているのが現状です。

セキュリティ関連の問題はある意味いたちごっこで、終わりのない戦いでもありますが、今後もドローンの安全性が向上することを願いたいものです。

画像：DJI

参照：ZDNet

（文／塚本直樹）