The Register の報道によると、更新されたGitHub は、中国のドローンメーカー DJI からの DMCA 削除要請を拒否した。この DJI の悪質な開発者が公開したソースコードが誰かによってフォークされたためだ。
これには、飛行制御ファームウェアの復号化を可能にする AES キーが含まれており、技術スキルを持つドローン操縦者は、飛行制御ソフトウェアからジオフェンシングを削除できる可能性があります。このソフトウェアは、DJI ドローンが空港の進入路や機密とみなされる政府機関の建物の近くなど、特定のエリアを飛行するのを防ぎます。
公開されたキーは最新のファームウェア バージョン用ではありませんが、The Register は、ドローン ハッカーがすでにそれを改造ファームウェアに組み込んでおり、誰でもダウンロードしてドローンにフラッシュできるという証拠を確認しました (詳細は後述)。
DJIはこの記事についてコメントを控えた。GitHubはThe Registerのコメント要請を無視した。
細則をよく読んでください
以前の報告通り、キー自体は「2〜4年間」オンラインに残されていたが、DJIは12月にパブリックリポジトリのフォークに気づき、その月に削除要請を提出した。
実際、DJIの王国への鍵や様々なプロジェクトのソースコードを投稿したのは、DJIの開発者たちだった。同社はその後の声明で、彼らを解雇したと発表した。
このコードはドローン研究者のケビン・フィニスターレ氏によってフォークされたが、同氏はGitHubの利用規約で公開リポジトリのフォークが明示的に許可されているという理由で削除要請に対する反論を提出し、成功した。
「DJIは誤ってコードリポジトリを公開とマークし、その結果、誰でも当該リポジトリをフォークする権限を与えてしまった。この事故は同社のプレスリリースで証明されている」とフィニステレ氏はDJIの声明へのリンクを添えて述べた。
GitHub の利用規約のセクション 5 には次のように記載されています。
フィニステレ氏は次のように語った。
「GitHub には、私がフォークを保持することを阻止する法的通知を 10 日以内に提出する義務がありましたが、彼らはそれを怠りました。MLK (マーティン ルーサー キング) デーは厳密には 10 日目でしたが、祝日だったため、翌日 GitHub はリポジトリを再びオープンにしました。」
+コメント
公開コードのフォークはインターネットと同じくらい古い歴史を持つ。DJIがGitHubの利用規約の仕組みを理解していなかったために、この被害に遭ったことは懸念すべき事態だ。特に、ユーザーが飛行制限を自由に無効化できるという状況を考えるとなおさらだ。DJIは、差し迫った政府規制を回避できるほど自社製品を管理できる責任あるメーカーとして世界にアピールしているが、開発者のずさんな慣行は、その立場を公に揺るがし、ドローン制御に関する同社の声明の信頼性を著しく損なっている。
ドローンハッカーたちはすでに、DJIの人気ドローン「Phantom」の改造ファームウェアの配布を開始している。その様子は、Githubで確認できる。
元のキャプション:「暗号化タイプ1のキーがDJIから公開されたので、コードに追加しました。ファームウェアは抽出時に自動的に復号化され、パッケージに追加する際に暗号化されます。」
ここから得られる教訓は何でしょうか? GitHub の仕組みを社員に教育すること。プライベートリポジトリが本当にプライベートに設定されていることを何度も何度も確認すること。そして何よりも、暗号化キーをインターネット上に絶対に置かないこと。絶対に。®
追加更新
記事掲載後、DJI社の広報担当副社長であるバーバラ・ステルツナー氏は私たちに連絡を取り、次のように述べました。「登録からリモートID、不適切な飛行に対する罰則まで、私たちは合理的な規制を支持します。なぜなら、圧倒的多数のドローン操縦者が安全かつ責任ある飛行を望んでいると信じているからです。これは当社のソフトウェア/セキュリティ問題とは全く関係がなく、そうではないと示唆するのは無責任です。」
