ネットからアクセス可能なスマートホームデバイス、日本で千台以上確認(Avast)
Avastは、グローバルで4万9,000台以上のMQTTサーバがインターネット上で公開状態にあることを発見したと発表した。
脆弱性と脅威
脅威動向
MQTTプロトコルは、スマートホームハブを介したスマートホームデバイスの相互接続と制御に使用されるもので、実装する際にはユーザ側でサーバを設定する。一般消費者向け製品の場合、サーバはデバイスが接続・通信可能なPCやミニコンピュータ(Raspberry Piなど)が使用されるのが一般的になっている。
MQTTプロトコル自体はセキュアなものだが、MQTTの実装・構成が不適切に行われた場合、サイバー犯罪者にスマートホームへの包括的なアクセス権を得られてしまう可能性がある。その結果、所有者の在宅時間を把握されたり、エンターテイメント・システム、音声アシスタント、家庭用デバイスの不正操作や、スマートドア/ウィンドウの開閉状態を把握されてしまうとしており、設定の重要性を理解するよう呼びかけている。
《吉澤 亨史( Kouji Yoshizawa )》