セキュリティ調査会社による最新リポートに関する声明

プレスリリース2020-07-30

セキュリティ調査会社による最新リポートに関する声明

DJIは、アプリのセキュリティと顧客データのプライバシーを真摯に捉えております。 とあるセキュリティ調査の結果、当社のアプリの一つに脆弱性が2点発見されたと報告がありました。しかし、これは架空の脆弱性であり、潜在的バグと言い表すのが最も適切です。いずれも、DJIがこれまで実施した米国の第三機関によるセキュリティ監査結果の報告に関係はなく、これを否定するものでもありません。国土安全保障省ブーズ・アレン・ハミルトン社などは、政府やプロ顧客向けに設計されたDJIのアプリから予期しないデータ送信接続の証拠はないことを確認しています。

調査では、典型的なソフトウェアの懸念事項が抽出されましたが、悪用の証拠は見つかりませんでした。 報告書に書かれているアプリのアップデート機能は、ハッキングによりジオフェンシングや高度制限といった機能をオーバーライドしようとするアプリの使用を抑えるという、非常に重要な安全上の目的を果たします。 脆弱性発見のための報奨金制度を導入している唯一の大手ドローンメーカーとして、当社はsecurity.dji.comにて、リサーチャー全員に対し当社製品のセキュリティ上の懸念事項を公開することを奨励しています。

当社は自社でシステム設計を行っているため、DJIのユーザーは写真、動画、フライトログを共有するか否か、また、共有をどのように行うかを100%管理できます。また、ドローンデータセキュリティに関わる業界標準作成支援も行っております。本基準により、すべてのドローンユーザーにとって保護と信頼性が確保されます。

ここに詳細を記します。報告書を理解するための経緯や背景となれば幸いです。

  • 当社のシステムはDJIのアプリが公式バージョンでない場合、例えばジオフェンシングや高度制限などの重要な飛行安全機能を削除するように改変されていたと検出した場合、ユーザーにこれを知らせ、当社ウェブサイトからアプリの最新公式バージョンをダウンロードするよう要請します。将来的には、自国でリリースされ次第ユーザーがGoogle Playからダウンロードできるようになります。ユーザーが同意していない場合、安全性のため不正(ハッキングされた)バージョンのアプリは無効化されます。
  • 過去には、DJIコントロールアプリに許可なく変更が加えられることによる懸念が増えていました。現在このテクニックは、常に空の包括的安全対策を取るのに役立つよう設計されています。
  • 趣味でドローンを使用するユーザーは、写真や動画を友人や家族とSNSなどでシェアしたいものです。そのためDJIでは、ネイティブソフトSDKを介してコンシューマー向けアプリを主なSNSのサイトと統合しています。 こうした機能を実装するに際して、SDKのセキュリティに関する質問を個々のSNSサービスに送付する必要があります。 ただし、ユーザーが自発的にONにした時のみSDKが使用されるということにご留意ください。
  • DJI GO 4は、ユーザーがインプットしない限りは自動的に再始動しません。これに対して、当該の調査では自動的に再始動するとされていましたが、その要因を調査中です。 この現象は、これまでの当社でのテストでは再現できていません。 
  • 報告書で概要が述べられている脆弱性は、潜在的バグと言い表すのが最も適切です。これは、当社の脆弱性報奨金制度の対象です。この制度では、セキュリティリサーチャーが責任をもってセキュリティ上の問題を開示し、報酬として最大30,000ドルを受け取ることができます。 DJIフライトコントロールアプリはすべて、どの国でも使えるよう設計されているため、こちらのリストにあるように、世界中のリサーチャーの協力によりソフトウェアの絶え間ない改善に取り組んでいます。
  • 今回の報告書で特定されたMobTechとBuglyのコンポーネントは、以前リサーチャーから潜在的なセキュリティ上の欠陥が指摘された後、DJIフライトコントロールアプリから削除されました。 繰り返しますが、それらのコンポーネントが悪用された証拠はなく、政府やプロ顧客向けのDJIフライトコントロールシステムには使用されていませんでした。
  • 当社のホビー用ドローン製品のコントロールに主に使用されているのは、DJI GO4アプリです。 政府機関用に設計されたDJIドローン製品がデータをDJIに転送することはなく、DJI Pilotアプリの市販されていないバージョンのみと互換性があります。 これらのドローン用ソフトウェアのアップデートは、オフラインでのみ行われます。 すなわち、この報告書において、機密性のある政府による使用を意図したドローンとは関係がないということになります。 ブーズ・アレン・ハミルトン社はこれらのシステムを監査し、最新セキュリティリポートを発表しています。そこでは、ドローンが収集したデータや情報が、DJI(中国)やその他予期していない相手に送信された証拠はないと報告されています。
  • これは、米国海洋大気庁サイバーセキュリティ会社Kivu Consulting米国内務省米国国土安全保障省によるレビュー後に行われた、独立した最新のDJI製品のセキュリティに関する唯一のバリデーションです。
  • DJIは、長年ドローンのデータセキュリティに対する業界標準の策定を呼び掛けてきました。セキュリティを懸念するドローンユーザーに適切な保護を提供するために、当社でも継続を願っています。 安全性の保証を意図したこのような機能に懸念が生じた場合、顧客が特定可能な客観的標準でそれを解決すべきです。 DJIはドローンユーザーのデータ保護に尽力しており、それが当社のシステムを自社設計している理由です。このため、ドローンユーザーはいかなるデータも、当社と共有するか否か選ぶことができるのです。 また当社は、技術的ソリューションで空の安全維持に寄与しております。