用語集サイトマップ
topics

 IoTやM2M等で使用されるプロトコルMQTTによる探索行為の増加等について2017年10月06日

平成29年10月6日
警察庁

IoTやM2M等で使用されるプロトコルMQTTによる探索行為の増加等について

 ここではインターネット定点観測システムへのアクセス情報等を観測・分析した結果から、ネットワークセキュリティの維持・向上に資する情報を掲載しています。

○ 主な観測結果

【概要】

  • 平成29年8月に、IoTやM2M等で使用されるメッセージプロトコルMQTTによる探索行為の増加を観測しました。
  • 観測したアクセスの大多数は、無認証のCONNECTコマンドによる接続試行でしたが、少数ながら、ユーザ名及びパスワードが指定されている認証を伴ったCONNECTコマンドによる接続試行も観測しました。
1883/TCPポートに対するMQTTのCONNECTコマンドの観測件数推移

【分析】

  • これらのアクセスは、認証が不要であったり、脆弱なユーザ名及びパスワードが使用されていたりして、誰でも容易に接続可能な状態となっているBroker(MQTTメッセージの中継等を実施するサーバ)を探索しているものと考えられます。

【対策】

 MQTTを使用する製品やシステムを利用していたり、MQTTを使用する製品やシステムの開発構築を実施する際には、以下の対策を実施することを推奨します。
  • Brokerに対するアクセスは、可能であれば特定のIPアドレスのみに許可してください。インターネットからのアクセスを許可する必要がない場合には、これを遮断してください。
  • 外部不特定からの無認証によるBrokerへのアクセスを許可しないでください。
  • SSL(TLS)による暗号化を実施してください。
  • 必要があればMQTTをVPN等の閉域網により送受信することも検討してください。

○ その他の観測結果

  • ウェブサーバに対して認証を試みるアクセスの増加
  • IoT機器を標的としたHajimeボットによる感染活動と考えられる通信が再び増加
  • リモートデスクトップサービスを標的としたアクセスの増加