SecurityInsight | セキュリティインサイト

警察庁、IoTやM2M等で使用されるプロトコルMQTTによる探索行為の増加等について発表

警察庁は10月6日、IoTやM2M等で使用されるプロトコルMQTTによる探索行為の増加等について発表した。その概要は以下のとおり。

警察庁は今年8月に、IoTやM2M等で使用されるメッセージプロトコルMQTTによる探索行為の増加を観測した。観測したアクセスの大多数は、無認証のCONNECTコマンドによる接続試行だったが、少数ながらユーザー名およびパスワードが指定されている認証を伴ったCONNECTコマンドによる接続試行も観測した。

これらのアクセスは、認証が不要であったり、脆弱なユーザー名およびパスワードが使用されていたりして、誰でも容易に接続可能な状態となっているBroker(MQTTメッセージの中継等を実施するサーバー)を探索しているものと考えられる。

警察庁では、MQTTを使用する製品やシステムの利用や、MQTTを使用する製品やシステムの開発構築を実施する際には、以下の対策を実施することを推奨している。

・Brokerに対するアクセスは、可能であれば特定のIPアドレスのみに許可する。インターネットからのアクセスを許可する必要がない場合には、これを遮断する。
・外部不特定からの無認証によるBrokerへのアクセスを許可しない。
・SSL(TLS)による暗号化を実施。
・必要があればMQTTをVPN等の閉域網により送受信することも検討する。

その他の観測結果としては以下のようなものがあった。
・ウェブサーバーに対して認証を試みるアクセスの増加
・IoT機器を標的としたHajimeボットによる感染活動と考えられる通信が再び増加
・リモートデスクトップサービスを標的としたアクセスの増加
 

関連リンク

プレスリリース