関連記事
遂に日本でも販売開始!DJIのお掃除ロボット「DJI ROMOシリーズ(ロモ)」
昨年の8月に中国、10月には一部の国で販売を開始していたDJIのお掃除ロボット「DJI ROMOシリーズ」が、遂に日本でも販売を開始しました。DJI ROMOシリーズは、DJI正規販売代理店で購入可能です。 目次 1. DJI ROMOシリ […]
2026年2月、スペインの不動産・トラベルグループでAI部門責任者(Head of Artificial Intelligence)を務めるサミー・アズドゥファル(Sammy Azdoufal)氏は、ある穏やかな週末のプロジェクトを思いつきました。彼が購入したDJI Romoロボット掃除機を、単なる「便利な家電」から「もっと面白いガジェット」に変えようと考えたのです。その目的は、PS5のコントローラーを使って、まるでビデオゲームのように掃除機を操作することでした。
目次
週末の遊びが招いた「意図せぬ」世界規模のアクセス
しかし、このささやかな「週末の遊び」は、予想もしない方向へと転がっていきます。一人の技術者が好奇心から踏み出した一歩が、結果として世界24カ国の家庭に潜むプライバシーの脆弱性を白日の下にさらす、2026年初頭で最も奇妙かつ示唆に富むIoTセキュリティ事件へと発展したのです。
AIがコードを書く時代の光と影
今回の事件で最も注目すべきは、アズドゥファル氏が自身で1行もコードを書かずに、この複雑な解析を成し遂げた点にあります。彼はAnthropic社のAIコーディングアシスタント「Claude Code」を「操縦」し、掃除機とサーバー間の通信プロトコルをリバースエンジニアリングしました。
開発者の間で急速に浸透しているこの手法は「Vibe Coding(バイブ・コーディング)」と呼ばれています。エンジニアが自らロジックを組むのではなく、AIに目的を伝え、出力された結果に対して対話を繰り返しながら形にしていくこのスタイルは、開発の民主化を加速させる「諸刃の剣」です。専門的なセキュリティ知識を持たないホビーユーザーであっても、AIを介することで高度な攻撃手法に等しい解析が可能になる現状は、テクノロジーの未来において刺激的であると同時に、サイバーセキュリティの境界線を劇的に引き下げてしまうという不安を抱かせるものです。
たった一つの「マスターキー」で世界中が繋がってしまった
アズドゥファル氏がAIと共に突き止めたのは、あまりにも単純で致命的なバックエンドの欠陥でした。専門用語で言えば、「トピックレベルのアクセス制御(Topic-level access controls)」が完全に欠落していたのです。
- 「認証」と「認可」の混同: システムはユーザーが本人であることを確認(認証)していましたが、そのユーザーが「どのデバイスにアクセスしてよいか」という権限の限定(認可)を行っていませんでした。
- マスターキー化した権限: 一人のユーザーの正当な認証情報が、システムに接続されている「全デバイス」と通信するための事実上のマスターキーとして機能していました。
この脆弱性の深刻さについて、ソースでは次のように強調されています。
「サーバーのアクセス制御ロジックには、『そのユーザーのデバイス』と『システムを通じて認証された全デバイス』を区別する方法が事実上存在しなかった。」
AIはバックエンドに潜むこの構造的な欠陥を「予見」したわけではありません。しかし、人間の直感的な「試行錯誤」をAIが圧倒的なスピードでコード化した結果、期せずしてこの巨大な穴が暴かれることになったのです。
24カ国、7,000台の「私生活」への窓口
アズドゥファル氏のプログラムがDJIのサーバーに接続した瞬間、彼の意図に反して、世界24カ国に散らばる約7,000台のDJI Romoユニットが応答を返しました。彼の手元には、まったく面識のない人々の私生活に直結する膨大なデータが流れ込んできたのです。
- ライブカメラの映像: 物理的に触れたこともない、見知らぬ誰かの部屋のリアルタイム映像。
- 間取り図データ: 掃除機がスキャンして生成した、詳細な住宅のレイアウト情報。
- 膨大なデバイスログ: 100,000件を超えるデバイス間の通信メッセージ(テレメトリデータ)と、IPアドレスから特定された各ユニットの正確な所在地。
単なる「意図せぬアクセス」という言葉では片付けられないこの情報の生々しさは、まさに驚愕に値する事態でした。
「掃除機の男」が示した倫理観と企業の対応
これほどのアクセス権を手にしたアズドゥファル氏でしたが、彼はそれを悪用することなく、極めて誠実な対応を取りました。彼はこの事実をニュースサイト『The Verge』に報告し、自らをあえて綴り間違いを含んだ「vaccum guy(掃除機の男)」という愛嬌のある呼称で名乗り、X(旧Twitter)上で事の経緯を公開したのです。
特筆すべきはDJI側の対応です。多くの企業がこの種の指摘に対して法的措置をちらつかせる中、DJIはアズドゥファル氏に対して公に感謝を述べ、迅速に修正パッチを適用しました。これは、現代の脆弱性開示ポリシー(VDP)における理想的な成功例と言えるでしょう。
彼はもともと、掃除機をラジコンのように操って「ビデオゲーム」を楽しみたかっただけでした。その純粋な好奇心が、結果として世界規模のセキュリティリスクを未然に防ぐことになったのです。
スマートホームの「便利さ」に潜むコスト
スマートホーム市場は2032年までに1,390億ドル(約20兆円)規模に達すると予測されており、私たちの生活はより密接にネットワークへと組み込まれていきます。しかし、サレー大学のアラン・ウッドワード教授が指摘するように、多くのメーカーにとってセキュリティは依然として「後回し」にされているのが実情です。
ソフトウェア業界の「Move fast and break things(素早く動き、破壊せよ)」という文化が生み出したデバイスは、誰かがその通信内容を詳しく調べるまでは、便利に、そして「安全に見えるように」動き続けます。しかし、AIの普及により、その「誰か」が現れるハードルはかつてないほど低くなっています。
今回の事件は、私たちに重い問いを投げかけています。「AIによるイノベーションのスピード」に対し、「伝統的なセキュリティ監視のスピード」は果たして追いついているのでしょうか? 私たちが自宅に迎え入れた「スマート」な家族たちが、真に信頼に値するのか。その確信を得るための戦いは、まだ始まったばかりです。
