中国のドローン大手DJIは、顧客アカウントデータやクワッドコプターの動画が盗み見される危険性があった重大なセキュリティホールを修正した。
今年3月から9月にかけて、ドローンの飛行、ビデオ映像、所有者の個人情報など機密性の高いデータが多く含まれるDJIの顧客記録が、オンラインの攻撃者によって盗まれた可能性がある。
すべてを尽くす
チェック・ポイントのセキュリティ研究者は今週、DJIの顧客からアカウントのログイン認証情報を盗み、その秘密鍵を使って被害者のアカウントから情報を盗み出すことが可能であることを発見したと発表した。
具体的には、チームは、ログイン後、DJIのウェブサーバーがブラウザに「」と呼ばれるCookieを送信することを発見しました。このCookie_meta_keyは、ウェブサイト、モバイルアプリ、エンタープライズサービスなど、DJIの様々なプラットフォームへのアクセスに使用されます。DJI_meta_keyのアプリやサイトに他人のトークンを提供すると、事実上、その人になりすますことになります。
URLへの HTTP GET リクエストが/mobile.phpログインしているユーザーの_meta_keyCookie を返すことを発見した後、チームは、何らかの方法でユーザーにその URL を誤って取得させることができれば、標的のアカウントのロックを解除する魔法の Cookie を取得できることに気付きました。
そして案の定、彼らはクロスサイトスクリプティング(XSS)を用いて被害者のブラウザをそのURLにアクセスさせ、巧妙なJavaScriptを用いて取得したアクセストークンを攻撃者に送信することに成功した。研究チーム(オデッド・ヴァヌン、ディクラ・バルダ、ローマン・ザイキン)は、この手法はブラウザのXSS対策も回避できると述べた。
このXSSの仕組みは次のようになります。犯人はDJIフォーラムに悪意がありながらも魅力的なリンクを投稿します。ログインしたユーザーがそのリンクをクリックすると、実際には前述のリクエストが送信されmobile.php、返された_meta_keyCookieがハッカーが指定したウェブサーバーに送信されます。こうしてキーがハッカーの手に渡り、ハッカーはそれを使って標的のアカウントを乗っ取ります。
Check Pointのエキスパートたちは、DJIのFlightHub(ウェブとデスクトップの両方のクライアントインターフェースを備えた企業向けドローンユーザー向けサービス)にも侵入できることを発見しました。FlightHubアカウントの乗っ取り攻撃も、盗難_meta_keyトークンを利用しています。
チェック・ポイント社が最初にこの欠陥を発見し、DJIのバグ報奨金プログラムを通じて報告した。このプログラムは、2017年8月に米陸軍がセキュリティ上の懸念から軍人らにDJIのドローンとソフトウェアの使用を中止するよう指示したメモを受けて設置された。
「データが盗まれる可能性に関して言えば、チェック・ポイントの研究チーム以外の誰かがこのセキュリティホールを悪用したという兆候はない」とチェック・ポイントの広報担当者はThe Registerへの電子メールで述べた。
これは同社にとって幸運なことだ。なぜなら、同社のデータは理論上の宝庫であり、DJIのクラウドに同期されたドローンの飛行記録や写真、ユーザーアカウントや支払い情報、ドローンのカメラやマイク、地図へのリアルタイムアクセス、そしてDJIのFlightHubソフトウェアを使用しているユーザー向けのドローン操縦者のカメラや位置情報のライブビューへのアクセスが可能だからだ。
賞金稼ぎの仕事
DJIは、Check Pointの調査結果を同社のバグ報奨金プログラムの正当性を示すものと位置付けています。脆弱性は修正済みです。
「まさにこれが、DJIがそもそもバグ報奨金プログラムを設立した理由です」と、DJIの副社長兼北米カントリーマネージャーであるマリオ・レベロ氏は声明で述べた。「すべてのテクノロジー企業は、サイバーセキュリティの強化が終わりのない継続的なプロセスであることを理解しています。」
このプログラムは、報告された約200件の欠陥に対して87人の研究者に7万5000ドルを支払った。チェック・ポイント社は、その報告に対する報酬を受け取らなかったが、同社の広報担当者は、セキュリティ企業としてはこれが標準だと述べた。
昨年、セキュリティ研究者のケビン・フィニステレ氏も、DJIのバグ報奨金プログラムが正式に設立される前に、このプログラムから離脱しました。Amazon Web Services(AWS)のDJI Skypixelキーが公開されていたことに関する報告書の中で、フィニステレ氏はDJIの賞金条件が自身の発言に容認できない制限を課していたと説明しました。また、条件に同意しなかった場合、発見内容を公表すれば、コンピュータ詐欺・濫用防止法(CFIA)に基づく賠償責任を問われるリスクがありました。
DJIの広報担当者は、同社の現在のバグ報奨金の条件はフィニステレとのやり取りの後に導入されたと述べた。
自分のデータを管理する
おそらく偶然だろうが、DJI は来年、企業ユーザー向けに「プライベート クラウド アクセス」という機能を提供する予定だ。この機能により、組織はドローンとの間でやり取りされるデータを DJI のクラウドではなく自社のサーバー経由でルーティングできるようになる。
昨年、DJI は個人顧客向けにローカル データ モードと呼ばれる同様の機能を導入し、DJI パイロット アプリがインターネット経由で通信できないようにするプライバシー強化機能と特徴づけました。
DJIのプライバシーとセキュリティへの取り組みが、失った米国政府のビジネスを取り戻すことを意図しているのであれば、これまでのところ成果は上がっていない。5月、米国防総省は、クリス・マーフィー上院議員(コネチカット州民主党)が提起したセキュリティ上の懸念を受けて、市販のドローン(DJIを含む)の購入を禁止した。
はい、ドローンビジネスのDJIのGo 4アプリは中国に電話をかけます - まあ
続きを読む
この禁止措置は、DJIがドローンで収集した米国の重要インフラに関するデータを中国政府に提供していると主張する昨年の移民関税執行局のメモを受けて行われた。
DJI は、セキュリティ監査が自社コードの独自仕様部分 (その多くはオープンソース) を承認したことを理由に、この容疑を否定している。
しかし、米中間の貿易戦争のさなか、中国のテクノロジー企業は自社製品の価格を妥協するよう求める中国政府の要求を否定できないという米国内の根強い懸念に直面している中国企業として、ドローンメーカーは米国の懸念を和らげるために、独自のコードやキットをすべて放棄しなければならないかもしれない。
それでも、保護主義的な政治家は言うまでもなく、米国に拠点を置くドローンメーカーは、外国のドローン企業が信頼できるかどうかを疑問視することに競争上の優位性を見出すかもしれない。®
