Avastは8月17日、Message Queuing Telemetry Transport(MQTT)プロトコルの構成ミスにより、世界で4万9000台以上のMQTTサーバがWeb上で公開状態にあることを発見したと発表した。
この中には、パスワードが保護されておらず、データ漏洩のリスクを伴う日本国内のサーバが1012台含まれているという。
MQTTプロトコルは、スマートホームハブを介したスマートホームデバイスの相互接続と制御に用いられる。MQTTプロトコルを実装する際、ユーザ側でサーバを設定するが、一般消費者向け製品の場合、サーバは通常、デバイスが接続・通信可能なPCやミニコンピュータ(Raspberry Piなど)が使用される。
MQTTプロトコル自体はセキュアだが、その実装・構成が不適切だった場合、攻撃者はスマートホームへの包括的なアクセス権を得ることで、所有者の在宅時間を把握すること、エンターテイメント・システム、音声アシスタント、家庭用デバイスの不正操作、スマートドア/ウィンドウの開閉状態を確認することが可能となるという。
オープンで無防備なMQTTサーバは、IoT検索エンジンのShodanで発見可能で、接続が完了すると、攻撃者はMQTTプロトコルを用いて送信されたメッセージを読むことができるという。
-
MQTTサーバの数 資料:Avast
