DJIはこのほど、米国企業OnDefendが実施した独立したセキュリティ監査の結果を発表した。5カ月にわたり、専門家チームがコンシューマードローン「DJI Air 3S」とエンタープライズモデル「Matrice 4E」を徹底的に分析。重大、高、中リスクの問題は一切発見されず、隠しバックドアやマルウェア、米国外への不正なデータ送信、ハッキング成功の痕跡も確認されなかった。
今回の監査は、DJIと米国規制当局との対立が続く中で実施された。同社は、新たな外国製ドローンの米国市場認証を事実上阻止するFCCの決定に異議を唱えており、この規制により年間約15億6000万ドルの損失が生じる可能性があると主張。さらに、計画していた製品の一部が米国市場に投入できなくなる恐れも指摘している。
OnDefendは、ソフトウェア、ファームウェア、ハードウェア、無線周波数といった多岐にわたる分野でドローンを精査。中間者攻撃のシミュレーションやデバイスの物理分解、コンポーネント解析なども実施した。注目すべきは、テスト用の機体を小売店(Air 3S)とディーラー在庫(Matrice 4E)から独自に調達し、DJI側が特定機体の選定に関与していない点だ。
とはいえ、監査結果が完全にクリーンだったわけではない。低リスクの脆弱性が10件見つかり、その内訳はコンパニオンアプリの弱いTLSプロトコルやURL内の認証トークンなど。OnDefendはこれらを複雑な組み込みシステムにありがちな問題と位置づけ、DJIはファームウェアアップデートで修正中だと説明している。監査チームは、今回のチェックはあくまで特定時点の2機種の状態を反映したものであり、将来のアップデートに対する継続的なテストの代替にはならないと強調した。
監査を担当したOnDefendという企業の選定も興味深い。同社は以前、TikTokの米国における独立セキュリティ監視機関の一つに任命されている。つまり、米国当局から国家安全保障上の理由で圧力を受ける中国企業2社を監査したことになる。ただし、DJIの監査はあくまで同社自身が依頼・費用負担したものであり、連邦政府の監督下での本格審査とは一線を画す。
今回の監査結果は、DJIにとって規制への対抗材料となるが、政治的・規制上の問題を完全に解決するには至らないだろう。同社は既に裁判所でFCCの措置が米国憲法に違反すると主張しており、4月の提出書類では既存14製品の許可取り消しと、計画していた25のデバイスの発売不能を報告している。こうした状況の中、中国から米国への民生用ドローン輸出は12月以降、前年比60~70%減少していると日経アジアが伝えている。