中国のロボットメーカーPudu Roboticsの商用サービスロボットに深刻なセキュリティ脆弱性が発見された。同社は世界1,000以上の都市で10万台以上のロボットを展開し、アナリストのFrost and Sullivanによると昨年23%の市場シェアを獲得している。
ホワイトハットハッカーのBobdahackerが、管理者がアクセス制御を適切に設定していないため、攻撃者が有効な認証トークンを取得すれば、ロボットを任意の場所にリダイレクトし、任意のコマンドを実行させることができると発見した。攻撃者はクロスサイトスクリプティング侵入や試用アカウントの設定により認証トークンを取得可能である。
8月12日にBobdahackerがPuduに問題を報告したが、技術、サポート、営業チームは全て無視した。8月21日までに50人以上の会社スタッフにメールを送ったが反応がなかった。その後、7,000以上のレストランを持つすかいらーくホールディングスとゼンショーなどの顧客企業に連絡すると、約48時間後にPuduから返信があった。同社は最終的にシステムをロックダウンし、セキュリティホールを修正した。
From: 
Chinese Pudu robots found open to hijacking
【編集部解説】
今回のPudu Robotics脆弱性事件は、商用サービスロボット業界の急速な成長の陰に隠れた深刻な構造的問題を浮き彫りにしています。
最も注目すべき点は、世界23%の市場シェアを持つ業界リーダー企業が、基本的なセキュリティ実装を怠っていたことです。認証トークンの存在確認のみで権限チェックを行わない実装は、セキュリティ設計の初歩的な欠陥と言えるでしょう。
この脆弱性の技術的影響は極めて広範囲です。攻撃者は単一のAPIアクセスで、世界中の10万台以上のPuduロボット全てを制御可能でした。レストランでの食事配送ルート変更から、オフィスビルでのエレベーター操作を行うFlashBotの悪用、さらには病院の消毒ロボットまで、あらゆる用途のロボットが標的となり得ました。
特に深刻なのは、企業の危機管理体制です。8月12日の初回報告から8月21日まで、技術・サポート・営業部門全てが完全に無視し続けたのは、責任ある企業としての基本姿勢を疑わせます。
この問題は規制当局にも重要な示唆を与えています。現在、サービスロボットのサイバーセキュリティに関する国際的な統一基準は存在しません。今後は各国でロボット製造業者に対するセキュリティ要件の法制化が進む可能性があります。
長期的に見るサービスロボット市場の将来性について、今回問題となったPudu社とデロイトが共同発表したホワイトペーパーでは、市場規模は2025年に400億ドル、2035年には1,950億ドルへ急拡大すると予測されています。一方で、独立系調査会社Frost & Sullivanによる商用サービスロボット市場の予測では、2030年時点で約15億ドルとなっています。この予測の乖離は市場の定義や調査手法の違いによるものだと考えられます。
いずれにせよ、今回の事件はロボット業界の信頼性を再構築する契機となるでしょう。持続的な成長を実現するためには、セキュリティが単なる技術課題ではなく業界全体の信頼を支える経営基盤であるという認識の徹底が不可欠です。
【用語解説】
認証トークン
ユーザーがシステムにログインした際に発行される電子的な証明書で、その後のAPI呼び出しで身元を証明するために使用される。
クロスサイトスクリプティング(XSS)
Webアプリケーションに悪意のあるスクリプトを埋め込み、ユーザーの個人情報を盗み取るサイバー攻撃手法。
DDoS攻撃
複数のコンピューターから同時に大量のアクセスを行い、標的のWebサイトやサーバーを機能停止に追い込む分散型サービス拒否攻撃。
ホワイトハットハッカー
セキュリティ研究を目的とし、発見した脆弱性を責任を持って企業に報告するハッカー。悪意のあるブラックハットハッカーと対照的な存在である。
BellaBot
Pudu Roboticsが開発した猫型配膳ロボット。AIボイスシステムを搭載し、障害物を0.5秒で検出可能な高性能センサーを持つ。
FlashBot
Pudu Roboticsの配送ロボット。エレベーターを自律操作できる機械アームを備え、ホテルやオフィスビルでの配送業務を自動化する。
【参考リンク】
Pudu Robotics(外部)
中国深圳に本社を置く世界最大の商用サービスロボットメーカー。BellaBotやFlashBotなどの配膳・配送ロボットを開発し、全世界60か国以上で10万台以上を展開している。
すかいらーくグループ(外部)
ガスト、バーミヤン、ジョナサンなど7,000店舗以上を展開する日本最大級のファミリーレストランチェーン。今回の脆弱性報告を受けてPuduに対応を求めた企業の一つ。
ソフトバンクロボティクス – BellaBot(外部)
日本国内でのBellaBot正規代理店。ネコ型配膳ロボットの製品詳細、導入事例、サポート情報を提供している。
【参考記事】
I Hacked BellaBot and Every Robot from China’s Biggest(外部)
脆弱性を発見したハッカー本人による詳細な技術解説。攻撃手法の具体的な手順と、企業の不誠実な対応について実体験を基に記録。
Pudu Robotics Takes Lead in Global Commercial Service Robotics(外部)
Frost & Sullivan調査による市場データ。Pudu Roboticsが23%の世界市場シェアを獲得し、業界首位に立っていることを報告。
Pudu Robotics and Deloitte Release White Paper(外部)
デロイトとの共同レポート。2023年の23%市場シェア獲得データと、サービスロボット業界の将来展望について詳述。
On the Cyber-Physical Security of Commercial Indoor(外部)
商用サービスロボットのサイバーセキュリティに関する学術研究。業界全体のセキュリティ課題について体系的に分析。
【編集部後記】
みなさんの職場やよく行くレストランで、配膳ロボットを見かけることはありませんか?便利で可愛らしい存在として親しまれているこれらのロボットが、実は重大なセキュリティリスクを抱えていたかもしれません。今回のPudu Robotics事件は、私たちの身近にあるテクノロジーの安全性について改めて考えるきっかけを与えてくれました。
ロボットと共生する未来社会において、私たち消費者はどのような視点でサービスロボットを選択し、企業の対応を評価すべきでしょうか。また、セキュリティと利便性のバランスについて、みなさんはどうお考えになりますか?ぜひSNSでご意見をお聞かせください。
