アプリのセキュリティに関する誤解を招くレポートに対する声明
DJIソフトウェアに関するSynacktivデジタルセキュリティ会社の本日のレポートには、先週の同様のレポートに続き、当社の製品がどのように機能するかについて、不正確かつ誤解を招く記述が含まれています。DJI製品はユーザーデータを保護すること、ほとんどのソフトウェア会社と同様、DJIは実際のあるいは潜在的な脆弱性が明らかになると製品を継続的に更新すること、Synacktivによって報告された架空の脆弱性が悪用された証拠がないことを明確にしたいと思います。本リリースでは、Synacktivの新しいレポートについて説明します。
Weibo SDKに関するSynacktivの虚偽の主張
DJIウェブサイトとGoogle Playストアの両方から入手できるAndroid用のDJI Pilotアプリは、Weiboと接続するためのソフトウェア開発キット(SDK)を統合していません。 Weiboに関するSynacktivの主張は誤りです。実際、DJI Pilotアプリのどのバージョンにも、ユーザーがWeiboにデータを共有するための機能はありません。
DJI Pilotの自動更新に関するSynacktivの誤解を招く主張
Google Playストアで入手できるAndroid用DJI Pilotアプリは、Google Playストアからダウンロードされた公式バージョンにのみ更新されます。ユーザーはポップアップウィンドウで更新するよう求められ、ユーザーが同意しない限りアプリは更新されません。Google Playストアが利用できない国で当社の製品を利用するユーザーは、DJIのウェブサイトでアプリの入手とアプリの更新が可能です。 Synacktivのレポートの見出し、要約、および前半は意図的に誤解を招くものです。このメカニズムは、DJIウェブサイトバージョンから入手するDJI Pilotアプリのみに限定され、Google PlayからDJI Pilotアプリを取得したユーザーには影響しません。
DJIのジオフェンシングシステムに関するSynacktivの不完全な理解
DJI Pilotアプリには、ローカルデータモードと呼ばれる機能が含まれており、アプリで設定をオンにするとすぐに、ユーザーはインターネットへの接続を切断できます。 データセキュリティの強化に加え、この機能は機体が飛行制限空域を更新する機能を無効にし、ユーザーが飛行制限空域を「ロック解除」する機能を無効にします。ただし、Synacktivは、DJIのジオフェンシングシステムの機能と、ユーザーがロック解除するために利用できる他の多くの方法を誤解しているようです。たとえば、政府機関は、認定エンティティプログラムに参加してアクティベイトすることにより、インターネットに接続することなく、要求したリージョン全体のロック解除ができます。また、Government Editionのドローンには、ジオフェンシングがありません。DJIユーザーはこれらの制限を理解したうえで、必要に応じ、いつ、どのように飛行制限空域を解除するか事前に計画します。
自動更新と同様、これらの機能は、当社製品を使用する際に空域の安全性を高めて公共の利益に資することを目的に実装されています。ジオフェンシングの重要な安全上の役割は、米国連邦航空局(FAA)のドローン諮問委員会、the Airports International Council-North America and Association for Unmanned Vehicle Systems International joint Blue Ribbon Task Force on Airport Mitigation, the FAA-industry joint Unmanned Aircraft Safety Teamによって認識されています。ドローンを使用する際の安全性を積極的に強化するため、DJIほど多くのことを行った企業は他にありません。 ドローンの実際の運用について、明らかに疎い研究者によって、安全機能が仮想のセキュリティ脅威として誤解され、曲解されていることは誠に遺憾です。
DJIは以前に報告された懸念を迅速に対処済
セキュリティに関するSynacktivの誇張された、誤解を招く最初のレポートがNew York Timesで引用されましたが、彼らのレポートを精査した結果、不十分であることがわかりました。 DJIは、7月31日、DJI GO 4 Android アプリを迅速に更新し、SynacktivがDJI GO 4アプリについて指摘した以前の架空の懸念に対処しました。Weibo SDKの削除や、安全飛行に関する機能などアプリの最新公式バージョンをGoogle Playからもダウンロード可能となりました。
DJIは、複数の独立した政府機関および民間機関による公的に入手可能なレポートにより、製品の評価に成功した唯一のドローンメーカーです。 DJIは、セキュリティの脆弱性について責任をもって開示することを積極的に求め、発見したセキュリティ研究者に報酬金を支払うBug Bounty Programを導入した唯一のドローンメーカーでもあります。
DJIの堅牢なセキュリティ保護の詳細については、以下のリンクにある以前のレポートへの対応をご参照ください。
https://www.dji.com/jp/newsroom/news/app-security
