あのネコ型配膳ロボに深刻な脆弱性 誰でも遠隔操作可能な状態に：セキュリティニュースアラート

中国のロボット企業Pudu Roboticsの全製品に、第三者による遠隔操作が可能な重大な脆弱性が存在していた。製品の中でも猫型給仕ロボット「BellaBot」は、すかいらーくホールディングスで導入されている。

[後藤大地，有限会社オングス]

　セキュリティ研究者は2025年8月29日（現地時間）、中国のサービスロボット大手Pudu Roboticsの全製品に深刻な脆弱（ぜいじゃく）性が存在していたと発表した。

　同社は全世界でレストランや病院やホテル、オフィスなどにロボットを提供しており、対象には猫の顔を模した給仕ロボット「BellaBot」や「KettyBot」、配送ロボット「PuduBot」、清掃ロボット「CC1」や「PUDU SH1」、消毒ロボット、エレベーターを操作可能な配送ロボットなどが含まれていた。

　研究者によれば、数十万台規模で稼働するこれらの機器が、認証不備によって誰でも遠隔操作可能な状態にあったという。

あのネコ型配膳ロボに深刻な脆弱性　レストランや病院など幅広い場所でリスク

　研究者らは、同社のロボット管理用APIに認証上の欠陥があることを突き止めている。システムは認証トークンの有効性を確認するだけで、利用者が実際にそのロボットを操作する権限を持っているかをどうかを確認していなかった。

　研究者は「レストランの給仕ロボットが無関係な客に料理を運ぶ」「オフィスの配送ロボットFlashBotが機密文書を取得し、エレベーターで単独移動して搬出する」「病院で薬剤配送が意図的に誤らされる」といった影響例を挙げ、攻撃者が複数台を同時に制御すれば、混乱の規模を拡大できると指摘している。

　発見した脆弱性はPudu Roboticsに報告されているが、営業部門やサポート部門、技術部門のいずれからも応答は得られなかったという。そのため研究者は同社の主要顧客（日本の大手外食チェーン「すかいらーくホールディングス」や「ゼンショーホールディングス」や販売代理店など）に直接通知。すると48時間以内にPudu Roboticsから返信が届き、脆弱性の存在が「速やかに調査された」との連絡があったと報告している。ただしその文面にはテンプレート文が含まれたままで、誠実さを欠いた対応だと研究者は指摘している。

　顧客からの指摘を経て初めて対応が進み、実際には2日間で脆弱性の修正が完了したとされる。Pudu Roboticsのロボットは飲食業だけでなく、医療現場での薬剤配送やホテルのルームサービス、オフィスでの文書搬送、学校の食堂業務など幅広い環境で利用されている。そのため今回のセキュリティ不備は、患者や高齢者、子どもといった弱い立場にある利用者へも直接的な影響を及ぼす可能性がある。

　研究者は報告の中で、同社がセキュリティ窓口を整備していなかった点、脆弱性情報への初動が遅れた点、API設計における基本的な認証が欠如していた点などを問題視している。企業側が売り上げや顧客からの圧力によってのみ行動を起こしたと受け取られかねない対応は、国際的に利用されるサービスロボットの安全性に関わる事案として看過できないと述べている。