セキュリティソフトのベンダーであるAvastは本日、Message Queuing Telemetry Transport（MQTT）プロトコルの構成ミスにより、グローバルで4万9,000台以上のMQTTサーバーがインターネット上で公開状態にあることを発見しました。この中には、パスワードが保護されておらず、データの漏えいリスクを伴うサーバーが日本国内では1,012台含まれています。MQTTプロトコルは、スマートホームハブを介したスマートホームデバイスの相互接続と制御に使用されます。MQTTプロトコルを実装する際、ユーザ側でサーバーを設定します。一般消費者向け製品の場合、サーバーは通常、デバイスが接続・通信可能なPCやミニコンピュータ（Raspberry Piなど）が使用されます。

 MQTTプロトコル自体はセキュアですが、MQTTの実装・構成が不適切に行われた場合、深刻なセキュリティ問題の発生が考えられます。サイバー犯罪者は、スマートホームへの包括的なアクセス権を得ることで、所有者の在宅時間を把握し、エンターテイメント・システム、音声アシスタント、家庭用デバイスの不正操作や、スマートドア/ウィンドウの開閉状態を確認することが可能となります。特定の状況下では、サイバー犯罪者がユーザの居場所を追跡することもでき、プライバシーとセキュリティの深刻な脅威となりかねません。

Avastのセキュリティ研究者であるマーティン・フロン（Martin Hron）は、次のように述べています。「セキュリティが重要懸念事項でなかった時代に作られた、セキュリティが脆弱なプロトコルは現在も多数存在しているため、個人のスマートホームへのアクセス権の取得や制御は、恐ろしいほど簡単です。消費者は、家庭のプライベートな部分をつかさどるデバイスを、よく分からないサービスに繋げることのセキュリティリスクや、デバイスの適切な設定の重要性を理解する必要があります。」

マーティン・フロンは、脆弱な構成のMQTTサーバーを使用している場合、以下の5つのリスクがあると説明しています。

1. オープンで無防備なMQTTサーバーは、IoT検索エンジンのShodanで発見できます。接続が完了すると、ハッカーはMQTTプロトコルを用いて送信されたメッセージを読むことができます。Avastの研究で、ハッカーがスマートドア/ウィンドウなどのセンサーの状況を読み取ることや、照明のオン/オフの時間を把握できることが明らかとなっています。こうした特定のケースでは、第三者がデバイスに代わってMQTTプロトコルを使用し、コネクテッドデバイスの制御やデータポイズニングが可能なことも判明しています。攻撃者がハブにメッセージを送り、ガレージのドアを開けるケースなども考えられます。
2. スマートホームのコントロールパネルの制御に使用されるダッシュボードが、MQTTサーバーと同じIPアドレスで実行されている場合は、MQTTサーバーが保護されていても、スマートホームのハッキングが可能なことが判明しています。多くのユーザは、スマートホームのハブソフトウェアを初期設定のまま使用しています。そして、多くはパスワード保護されておらず、ハッカーはスマートホームのダッシュボードに対して包括的なアクセス権を取得でき、ダッシュボードを介して接続されるあらゆるデバイスを制御できます。
3. MQTTサーバーとダッシュボードの両方が保護されている場合でも、スマートハブソフトウェアとしてHome Assistantソフトウェアを使用するケースでは、セキュリティが確保されていないオープンなSMBシェアが公開されることで、ハッカーがアクセス可能になることが判明しています。SMBとは、主にWindowsプラットフォームを対象とし、内部ネットワーク上でファイルの共有に使用されるプロトコルです。Avastは、構成ファイルを含むすべてのHome Assistantファイルが公開状態にあるディレクトリを発見しています。流出ファイルの中には、パスワードを格納したファイルと、平文で保存された鍵が発見されました。構成ファイルに格納されたパスワードにより、ハッカーは、個人の自宅の包括的なコントロール権を取得できます。
4. スマートホームの所有者は、ツールやアプリを使用し、MQTTベースのスマートホームのダッシュボードを作成することで、ネットワークデバイスを制御できます。MQTT Dashと呼ばれる特定のアプリケーションを使用することで、ユーザは自分のダッシュボードとコントロールパネルを作成し、MQTTを使用してスマートデバイスを制御できます。その際、ダッシュボードで作成した設定をMQTTサーバーにパブリッシュすることで、デバイスの数に関わらず、設定を容易に複製できます。使用されるMQTTサーバーのセキュリティが脆弱な場合、ハッカーはユーザのダッシュボードに容易にアクセスでき、スマートホームをハッキングできます。
5. MQTTサーバーは一般的にリアルタイム・データに専念しているため、場合によっては、MQTTを通じてハッカーがユーザの位置情報を追跡できることも判明しています。多くのMQTTサーバーは、OwnTracksと呼ばれるモバイルアプリケーションに接続します。OwnTracksにより、ユーザは他者との位置情報の共有が可能になりますが、スマートホームのオーナーが活用し、自宅に近づいた際にスマートホームデバイスに通知を行い、スマート照明などのスマートデバイスを起動させることができます。こうした追跡機能を構成するには、ユーザがMQTTサーバーに接続してアプリケーションを構成し、MQTTサーバーをインターネットに公開する必要があります。こうしたプロセスでは、ユーザにはログイン認証情報の設定が要求されないため、MQTTサーバーには誰でも接続できる状態となります。ハッカーは、デバイスのバッテリーレベルや、緯度、経度、高度を使用した位置情報、位置のタイムスタンプを含むメッセージを読み取ることが可能です。

Avastの研究の詳細は、同社ブログ (英語) でご覧いただけます。