DJIのロボット掃除機をPS5コントローラーで動かそうとしたら数千台分のデータに不正アクセスできてしまったという報告

中国に拠点を置くDJIは世界最大のドローンメーカーとして知られていますが、2026年2月には初のロボット掃除機「Romo」をリリースしています。そんなRomoの発売後に世界中で数千台が外部からアクセス可能な状態だったことが分かりました。アクセスした人物は「PS5のコントローラーでロボット掃除機を動かしたかっただけ」と明かしています。

The DJI Romo robovac had security so poor, this man remotely accessed thousands of them | The Verge
https://www.theverge.com/tech/879088/dji-romo-hack-vulnerability-remote-control-camera-access-mqtt

DJI robot vacuum cameras accidentally hacked in security nightmare | Mashable
https://mashable.com/article/dji-romo-robot-vacuums-hacked

サミー・アズドゥファル氏はロボット掃除機・RomoをPS5のコントローラーで遠隔操作してみたいという好奇心から、専用のカスタムアプリを自作しました。Romoは通常、専用のスマートフォンアプリから操作したりライブカメラの映像を見たりすることができますが、アズドゥファル氏はRomoとクラウドサーバーとの通信プロトコルを解析し自作クライアントから指令を送る方法を構築することで、PS5コントローラーで操作した上でノートパソコンからモニターすることを試みています。

結果としてアズドゥファル氏は、RomoをPS5コントローラーで自在に操作するという目的を達成しました。また、ロボットが家のどこを掃除しているのか、バッテリー残量がどのくらいかという情報や、さらにはRomoに搭載されているカメラの映像をインターネット経由で閲覧することにも成功しました。

しかし、実験の過程でアズドゥファル氏がDJIのクラウドサーバーに接続した結果、アズドゥファル氏が所有するRomoだけではなく、24か国に存在する7000台以上のRomoがデータを返してきてしまったそうです。アズドゥファル氏はそれらのRomoをすべて遠隔で制御できたほか、ライブ映像や音声、生成された間取り図、IPアドレスに基づくおおよその位置情報まで参照可能だったと話しています。アズドゥファル氏は「クラッキングもブルートフォース攻撃も一切していません。DJIのサーバーにハッキングすることすらなく、数千人のデータを取得できてしまいました」と語りました。

問題の原因は、IoT機器で広く使われている軽量通信プロトコル「MQTT」を用いたクラウド側のアクセス制御にあったとされています。DJIの広報担当であるデイジー・コン氏はこの件を報じたThe Vergeに送った声明の中で、「この問題は2回のアップデートで解決されました。修正は自動的に適用され、ユーザーによる操作は必要ありません。今回の脆弱(ぜいじゃく)性は、デバイスとサーバー間の通信に影響を与えるクラウドサーバーのMQTTベース通信に影響を与えるアクセス制御に関連していました」と説明しています。

また、今回の問題ではアズドゥファル氏がRomoとクラウド間の通信内容を解析してPS5コントローラーで操作するための制御に、AnthropicのAI「Claude」を活用していた点も注目されています。AIコーディングの支援によって通信解析やクライアント実装が容易になった結果、ユーザー本人の意図を超えた広範囲なアクセスが試みられ、Romoの脆弱性の発見につながったと考えられています。テクノロジー系メディアのTech Timesは「この事件は、AIを活用したコーディングの予期せぬリスクと、スマートホームネットワークの複雑さの増大を浮き彫りにしました。悪意のない実験でさえ、システム全体の欠陥を発見する可能性があり、家庭用ロボットは単なる便利な機器ではなく綿密なセキュリティ監視を必要とする広大なデジタルエコシステムの一部であることを示しています」と指摘しました。