ファミレスなどで使われる中国製配膳ロボ、制御ソフトの脆弱性により悪用可能な状態だった

佐々山 Tacos

2025.10.17

ファミレスなどで使われる中国製配膳ロボ、制御ソフトの脆弱性により悪用可能な状態だった

The Register – Fri 29 Aug 2025

すかいらーくグループやゼンショーHD系列のレストランなどでも使用されている配膳ロボットの背後の制御ソフトウェアにセキュリティホールが存在し、悪意ある目的で利用できる状態だったことをセキュリティ研究者が発見。これにより、ロボットを任意の場所へ移動させたり、任意のコマンドに従わせたりすることが可能になっていたという。

問題のロボットは、中国ロボットメーカー「Pudu Robotics（プードゥ・ロボティクス）」が提供する猫型配膳ロボット「BellaBot」と、オフィスやホテル、病院などで使われる配送ロボット「FlashBot」。McDonald’sの注文システムにおける欠陥を暴いたことでも知られるホワイトハッカーのBobdahacker氏は、Puduについての調査を開始。すると、これらのロボットの制御用ソフトウェアは、Pudu社の管理者がアクセスを制限していなかったことから悪用可能な状態になっていたことがわかったという。攻撃には有効な認証トークンが必須となるものの、Bobdahacker氏によればこれはクロスサイトスクリプティング攻撃の手法で入手できる。または、ロボット自体を購入する前にテスト用アカウントを作成するだけでも、有効な認証トークンが手に入るとされる。このトークンによる最初の認証テストをパスした後は、追加のセキュリティチェックが存在しなかったという。

こうした手法で攻撃者がソフトウェアにアクセスすれば、ロボットの配膳／配送先を変更したり、ロボットのタスクをすべてキャンセルし、DDoSのような形でレストラン内の全ロボットの働きを妨げたりすることができる状態だったとされる。また、FlashBotを制御してオフィスに混乱をもたらしたり、知的財産を盗み出したりすることも可能だった恐れがあるという。

Bobdahacker氏は8月12日に自らの発見をPudu社に報告するも、同社の技術チーム、サポートチーム、セールスチームはいずれもこの警告を無視。誰かに気づいてもらおうと、21日までに50人以上の従業員へメールを送ったがこれも無視され、結局折り返しの連絡があったのは、Bobdahacker氏がPuduの顧客である日本のすかいらーくグループやゼンショーホールディングスへ接触してからのことだったという。

両日本企業への連絡から48時間後に、PuduはBobdahacker氏へメールを送付。ChatGPTで生成されたと思われるメール本文には、脆弱性の報告について感謝する旨などが記されていたとされる。

Puduはその後、システムをロックダウンしてセキュリティホールを排除したが、同社が顧客に連絡が入って初めて行動を起こしたことについて、Bobdahacker氏はブログ記事で批判的に報告している。