M2M通信を支えるプロトコル「MQTT」「CoAP」が抱える課題、さまざまな攻撃の可能性

Dec 11, 2018
スマートファクトリー

トレンドマイクロは12月10日、公式ブログで「マシン・ツー・マシン(M2M)技術における設計および実装上の脆弱性」と題する記事を公開しました。David Quarta氏と共同執筆したリサーチペーパー「The Fragility of Industrial IoT's Data Backbone: Security and Privacy Issues in MQTT and CoAP Protocols」での調査結果に基づく内容です。

このリサーチペーパーは、マシン・ツー・マシン(M2M)の通信プロトコル「MQTT」(Message Queuing Telemetry Transport)および「CoAP」(Constrained Application Protocol)が抱える課題に関するものです。「MQTT」は産業用アプリケーションにおいて、「CoAP」はIoTや産業用IoTのデバイスにおいて、広く採用されており、M2M通信を支える技術だと言えます。

一方、これらのプロトコルの設計・実装上の脆弱性を悪用すると、対象デバイスを「Denial of Service(DoS、サービス拒否)」状態に陥れることが可能です。トレンドマイクロは、MQTTの仕様とソフトウェアの実装にセキュリティ上の課題があることを確認しました。MQTTの標準規格には、「Topic」に含まれたUnicodeの処理等、実装に応じた特定の条件で脆弱性が顕在するような不備が含まれており、不正なクライアントが悪用することで、他のクライアントの接続を切断することが可能となっています。

また、CoAPについては、増幅型の攻撃が可能であることを実証し、その最大増幅率について「最大32倍」と推計しています。トレンドマイクロでは、「CoAPは、UDPに基づく通信プロトコルであるため、本質的にIPアドレスのなりすまし攻撃を受けやすい」と指摘しています。

さらに、今回の調査では、設定に不備のある数十万台のホストが、認証情報、機密情報、産業関連の処理データを露出していることが確認されました。

リサーチペーパー「The Fragility of Industrial IoT's Data Backbone: Security and Privacy Issues in MQTT and CoAP Protocols」(英語版)は、本記事下部の関連情報にあるトレンドマイクロのサイトから、PDFファイルがダウンロード・閲覧可能です。

 

Security and Privacy Issues in MQTT and CoAP Protocols

トレンドマイクロ 公式YouTubeチャンネル (英語)


This website uses cookies for website functionality, traffic analytics, personalization, social media functionality, and advertising. By continuing to browse, you agree to our use of cookies.
Continue
Learn moreprivacy policy