米国の調査会社がDJI製ドローンのセキュリティを検証

米国の調査会社がDJI製ドローンのセキュリティを検証

サイバーセキュリティの調査会社Kivu社(本社:米国パロアルト、CEO:キム・ニケッテ)は、DJI製ドローンのデータセキュリティに対する調査結果を公開した。(田中亘)


DJIの4製品を独自に購入して検証

 Kivu社は、DJI Spark、DJI Mavic、DJI Phantom 4 Pro、DJI Inspire 2の4製品を独自に購入して、AppleおよびAndroidストアからGO 4モバイルアプリをインストールして、複数のフォレンジック分析手法を用いて、ドローンとGO 4アプリで収集されるデータのセキュリティ分析を行った。調査にあたり、Kivuはドローンの操作中に交信される全データをキャプチャした。また、GO 4アプリがインターネットに送信するデータも収集した。さらに、Kivuのスタッフは中国のDJI本社に出向いて、エンジニアやマネージャーなどのチームと数日間を過ごして、製品の情報セキュリティについて意見を交換したという。DJIは、KivuにGO 4のコードリポジトリへのアクセスを提供し、ドローンと飛行制御システムにより収集されるデータの分析にも協力した。こうした分析環境のもと、Kivuは以下の項目において、データの安全性について検証した。

・データの保存と送信
・オーディオ
・飛行ログ
・診断情報と「飛行禁止領域」データ
・個人の識別情報
・DJIサーバー
・顔認証
・クラウドストレージのセキュリティ監査

公開されたKivuの調査レポート

画像や音声に飛行ログは任意にアップロードを抑制できる

 DJIのドローンが飛行中に撮影したビデオや写真と、モバイルデバイスのマイクで録音したオーディオに関しては、ユーザーが意図的に録画や撮影を実行し、SkyPixelサーバーへのアップロードを指定しない限りは、データが外部に流出する危険性は低いと評価された。
 一方で飛行ログに関しては、GPSの位置情報をはじめとして、ジンバルの情報に写真とビデオのキャプチャ時間、飛行中に撮影された画像やビデオのサムネイル、機体の詳細データ、さらには飛行時間やバッテリ情報などが収集される。これらの飛行ログは、DJIのドローンやGO 4アプリが、自動的にアップロードすることはない。ただし、ユーザーがGO 4アプリで「同期」を設定すると、米国の場合は国内のサーバーにアップロードされるという。

GO 4アプリのデータセキュリティを検証

診断情報と飛行禁止領域は自動的に送信される

 初期設定では、機体の診断データや位置確認データは、自動的にDJIのサーバーに送信される。Kivuの報告書によれば、GO 4アプリで送信を無効にするか、インターネット接続を切断することで、それらの送信は防止できるという。さらに、Android用の飛行制御アプリでは、すべてのインターネットへのデータ送信を防止するローカルデータモード(LDM)が含まれている。
 一方で、製品のアクティベーションを行うときに入力する個人のメールアドレスや電話番号は、実際にはDJIが検証していなかった。そのため、その内容がドローンの飛行に影響を与えることはない。個人データは、GO 4アプリの特定の領域に保存され、通常はアクセスできないので、安全性は高いという。
 ちなみに、GO 4アプリがインターネット経由で送信するデータは、すべてDJI社のサーバーに保存される。米国では、SkyPixel向けのデータ以外は、すべてAmazon Web Services(AWS)でホストされる。Kivuによれば、AWSはクラス最高のセキュリティ制御を備えているという。DJIは、安全なAWSへのアクセスコントロールを実施していて、情報への不正アクセスの危険性は低いと評価されている。
 そして、顔認識に関しては、特定の個人を識別するような機能は使われていないという。また、クラウドストレージのセキュリティ監査においてKivuは、DJIが法律で要求されている通知を守っていると確認した。

 一連の調査を通して、KivuはGO 4アプリとAWSサーバーにおいて、既知のソフトウェアの脆弱性を特定した。その結果、DJIではKivuと協力して脆弱性の修復に対応したという。

レポートの公開先
https://www.dropbox.com/s/u221xdd3w0tkde6/Kivu%20summary%20of%20DJI%20report.pdf?dl=0

この記事のライター

関連する投稿


DJI 、CP+ 2019に出展、今年のテーマ「空へ、動画へ、」 ドローン空撮、動画撮影の魅力を紹介

DJI 、CP+ 2019に出展、今年のテーマ「空へ、動画へ、」 ドローン空撮、動画撮影の魅力を紹介

DJI JAPAN 株式会社(東京都港区)は、 2月28日から3月3日までの4日間、 パシフィコ横浜で開催される「CP+ 2019(シー ピープラス)」に出展する。今年のテーマは「空へ、 動画へ、 」をテーマに、 新しい創作活動への挑戦者へドローンによる空撮、 スタビライザーを使用した動画撮影の魅力を紹介する。


DJIが従業員の詐欺捜査に関する新しい声明を発表

DJIが従業員の詐欺捜査に関する新しい声明を発表

2019年1月30日。DJI(中国)は、自社のサイトで従業員の詐欺捜査に関する新しい声明を公開した。


セキド、「春の空撮キャンペーン」DJI製ドローンを下取りに、最新機種を購入

セキド、「春の空撮キャンペーン」DJI製ドローンを下取りに、最新機種を購入

最新ドローン DJI MAVIC 2 PRO / MAVIC 2 ZOOM へ乗り換えよう。


駒ヶ根観光協会×DJI JAPAN×楽天 AirMap 「長野県中央アルプス山麓早太郎温泉泊ドローン空撮ツアー」初開催 3月

駒ヶ根観光協会×DJI JAPAN×楽天 AirMap 「長野県中央アルプス山麓早太郎温泉泊ドローン空撮ツアー」初開催 3月

一般社団法人駒ヶ根観光協会(長野県駒ヶ根市)は、DJI JAPAN、楽天 AirMapと共同企画で 初めて開催する「長野県中央アルプス山麓早太郎温泉泊 ドローン空撮ツアー」(3 月 9 日〜10 日)の参加者受付を開始した。


DJIとAUVSI、優れた無人化技術を表彰する第2回 XPONENTIAL Humanitarian Awards への応募開始

DJIとAUVSI、優れた無人化技術を表彰する第2回 XPONENTIAL Humanitarian Awards への応募開始

無人化技術分野のリーダーたちが集う国際展示会「AUVSI XPONENTIAL」で、 DJIとAUVSIが主催する第2回「AUVSI XCELLENCE Humanitarian Awards」への応募が開始された。


最新の投稿


米国でドローンIDの表示方法が変更になる

米国でドローンIDの表示方法が変更になる

米国の連邦航空局(FAA)は、小型無人機の所有者に、航空機の外面にFAAが発行した登録番号を表示するよう要求する規則を連邦登録簿に掲示した。


セキドが産業用ドローン製品について無料説明会 全国11カ所で開催

セキドが産業用ドローン製品について無料説明会 全国11カ所で開催

株式会社セキドは、 ドローンや関連製品の業務への導入を検討している法人または官公庁に向けに、 産業向け製品の無料総合説明会を全国11カ所で開催する。


AIアナ「荒木ゆい」の声の技術で避難呼びかけ 神戸でスピーカー付きドローンの実験

AIアナ「荒木ゆい」の声の技術で避難呼びかけ 神戸でスピーカー付きドローンの実験

 DPCA、RUSEAは2月17日、ヴィッセル神戸のホームグラウンド、ノエビアスタジアム神戸(神戸市)で、近所で不審物が見つかったことを想定し、ドローンによる多言語の避難呼びかける実験を実施した。多言語情報発信を手掛ける株式会社Spectee、圧電スピーカー開発の有限会社ZenTecと連携した。


オプティムとドコモ、固定翼型ドローンとLTE通信による目視外・長距離飛行における広域リアルタイム映像伝送に成功

オプティムとドコモ、固定翼型ドローンとLTE通信による目視外・長距離飛行における広域リアルタイム映像伝送に成功

株式会社オプティムと株式会社NTTドコモは、1月16日〜18日、長距離・高速飛 行が可能な固定翼型ドローン(オプティムホーク)とLTE通信が可能なセルラードローン用通信デバイスを使い実証実験を行い、目視外・長距離飛行における広域リアルタイム映像伝送に成功した。


ドバイ空港が不法ドローンで30分のフライト停止

ドバイ空港が不法ドローンで30分のフライト停止

2019年2月15日 – ドバイ。現地時間の午前10:15から10:45までの約30分間、ドバイ空港は違法なドローンの飛行が疑われたことから、フライトを一時停止した。