中国のドローン企業DJIは、自社が費用を負担した監査結果を公表し、ユーザーのデータをひそかに本国に送信しているという主張に反論した。その結果、DJI Go 4アプリが実際に一部のデータを香港に送信していることが判明した。
これは、昨年DJIがセキュリティ上の失態を犯した後に起きた恥ずべき事態に続くものです。DJIの開発者がAWSの秘密鍵を長期間GitHub上に公開していたため、ユーザーがそれらをフォークしていたことが明らかになりました。その後、GitHubはDJIによる、鍵が含まれたフォークの削除を求めるDMCA削除要請を却下しました。
さらに、DJI社は米陸軍から全面禁止命令を受け、全隊員に対しDJI製ドローンの使用を直ちに中止し、廃棄処分するよう命じられました。小型ドローンは、その携帯型監視機能から、世界中の軍隊や関連政府機関で人気が高まっています。
英国政府は、昨年最も近い同盟国から根拠のある懸念が示されたにもかかわらず、そのような禁止措置を実施することを拒否している。
ドローンメーカーDJIは、自社のプライベートSSLとファームウェアキーをGitHubで世界中に何年も公開していた
続きを読む
DJIが概ね問題ないというデータセキュリティ監査は、米国サンフランシスコに拠点を置くKivu ConsultingがDJIの依頼を受け、実施しました。同社はDJIのドローンのサンプルを一般市場から購入し、一般ユーザーと同様に、様々なアプリストアから同社の飛行制御アプリをダウンロードしました。
AndroidとiOSの両方のデバイスでDJI Go 4アプリを起動すると、Kivuは世界中の様々なサーバーにDNSリクエストが送信されていることに気づきました。サーバーリストには、米国拠点のAWSとAlibabaのサーバーに加え、Bugly(TencentのQQサービスでホスト)の中国拠点のサーバーと、DJIが管理する香港拠点のサーバーが含まれていました。Kivuは次のように説明しています。
GO 4アプリケーションを開くと、 djiservice.orgに解決されるHTTP POSTIPアドレスへのコマンド47.91.161.230が送信されます。このIPアドレスは、香港にあるAlibabaクラウドサーバーに関連付けられています。POSTは、/api/v1/sn/status国コード、モバイルデバイスのオペレーティングシステム、シリアル番号を含むIPアドレス宛てに送信され、送信されます。
ネットワーク トラフィックをスニッフィングするために、Kivu は次のように専用のテスト環境をセットアップしました。
その後、セキュリティ監査員らは、Spark、Mavic Pro、Phantom 4 Pro、Inspire 2 が誰と通信しているかを確認するために電波をスニッフィングしながら、電源のオン/オフ、ドローンへの制御装置の接続と切断、Wi-Fi のオン/オフの切り替えなど、一連の徹底的なテストと思われるものを実施した。
監査によると、DJI サーバーへのビデオのアップロードは SSL で暗号化されていたが、ユーザーが開始した飛行ログのアップロードは「暗号化されていないプレーンテキスト形式」で送信され、「追跡番号、トークン、アプリの種類、シリアル番号、タイムスタンプ、署名」の詳細が含まれていた。
DJI Go 4アプリのデータには、Buglyと呼ばれる開発者向け診断アプリも含まれており、ホストデバイスのIPアドレスとIMEI番号、その他様々なデバッグ情報が記録されています。The Registerに示された報告書によると、KivuはDJIのキット内でのBuglyの動作について深く調査したようには見えませんが、TencentのQQサービスでホストされていると思われるBuglyサーバーの詳細を別途記録していました。
監査ではDJIのクラウドストレージ拠点も調査対象となった。Kivuによると、これらの拠点はAWSと中国のアリババによって運営されていたが、両サーバーとも米国内に設置されていたことが判明した。KivuによるDJIのバケットに関するセキュリティポリシーの調査では、「DJIのネットワークアクセス制御は適切であり、DJIのAWSクラウドサーバーに保存されている情報への不正アクセスを防止するように設計されていることが確認された」。
サーバー自体とDJI Goアプリの監査で、いくつかの脆弱性が明らかになった。具体的にはどのような脆弱性かは明らかにされていないが、DJIに報告され修正が行われ、その後、Kivuの指示のもとで修正が行われた。
余談だが、Kivu氏はDJIのFaceaware技術について、ジェスチャーでドローンをリビングルーム中を飛び回らせることができるが、セットアップ段階で人間がドローンのカメラをじっと見つめる必要があるにもかかわらず、実際には個々の顔を識別していないと指摘した。FaceawareはIntel MovidiusのMyriad 2チップを使用しており、Intelの誇大宣伝の多いプレスリリースでもそれが裏付けられている(例:「DJIはMyriad 2が実現する最先端のビジョンとディープラーニングアルゴリズムを実装しました」)。
中国と対話?はい、ただし許可した場合のみ
「キヴによるドローンと飛行制御システム(ドローン、ハードウェアコントローラー、GO 4モバイルアプリ)の分析の結果、DJIドローンが収集、保存、送信するデータの種類はユーザーが制御できるという結論に至った」と報告書のエグゼクティブサマリーには記されている。
報告書の詳細(DJIは、同社が独自コードと呼ぶスクリーンショットが含まれていることを理由に公表を控えている)によれば、DJIのドローンは現在、ユーザーが明示的にアップロードや送信を許可しない限り、ユーザーデータ、飛行ログ、動画、画像を中国が管理するサーバーに送信していないことがほとんどだ。これは、El Regが同社の製品をより綿密に調査し始めて以来、同社が一貫して主張している立場だ。
過去には確かに大きなセキュリティホールがいくつか存在し、その運用には一般の人が考えさせられる側面もありましたが、今のところ、一般の人々が中国政府にデータを盗み取られることを心配する必要はおそらくないでしょう。少なくとも、組み込みのアップロード機能を使い始めない限りは。®
