• TOP
  • ニュース一覧
  • IoT機器向けプロトコル「MQTT」サーバの探索が急増 警察庁観測
2017/10/10

IoT機器向けプロトコル「MQTT」サーバの探索が急増 警察庁観測

警察庁は10月6日、IoTやM2M等で使用されるメッセージプロトコル「MQTT」による探索行為の増加を、8月に観測したとして、注意を呼びかけました。インターネット定点観測システムへのアクセス情報等の観測・分析により判明したとのことです。

「MQTT」(MQ Telemetry Transport)は、処理能力や使用電力が限定された機器・環境でも動作するプロトコルとして、IoT/M2M機器等で活用されています。MQTTでは、標準で1883/TCPポート、SSL(TLS)による暗号化を行う場合には8883/TCPポートを使用。メッセージの送受信は中継サーバ(Broker)を介し、まずCONNECTコマンドによる接続を行います。

今回、警察庁のインターネット定点観測システムにおいて、1883/TCPポートに対するアクセス急増が、8月に確認されました。大部分は、無認証のCONNECTコマンドによる接続試行でしたが、少数ながら、ユーザ名およびパスワードが指定された接続試行も含まれていたとのことです。

7月以前にも、検索サービスやセキュリティ企業によるアクセスは存在しましたが、ここまで大量ではなかったため、これらのアクセスは、脆弱なBrokerを探索していたと考えられます。悪意ある攻撃者が不正にBrokerに接続できた場合、データ漏えい・改ざん、IoT/M2M機器乗っ取り等の可能性が出てきます。外部から簡単に接続可能なBrokerについては、すでに2016年からセキュリティ研究者が危険性を指摘しており、2017年7月時点で約8万7000台が存在していたとのことです。

MQTTを使用する製品やシステムを開発・利用する場合、Brokerへの接続におけるIP制限、SSL(TLS)による暗号化、閉域網での構築等の対策を、警察庁では推奨しています。

なお8月には、WebサーバのBasic認証を試みるアクセスの増加、IoT機器を標的とした「Hajime」ボットによる活動の再増加等も観測されたとのことです。



1883/TCPポートに対するMQTTのCONNECTコマンドの観測件数推移(警察庁のリリースより)<br /><br />

1883/TCPポートに対するMQTTのCONNECTコマンドの観測件数推移(警察庁のリリースより)


おすすめの動画

コネクテッドカーのセキュリティリスクとは

運営社情報

セキュリティブログ
is702
PageTop