MQTT

MQTT（旧称：MQ Telemetry Transport、Message Queuing Telemetry Transport）は、メッセージ指向ミドルウェアのアプリケーション層で使用される、TCP/IPによるPub/Sub型データ配信モデルの軽量なデータ配信プロトコルである。

MQTT

MQTTのロゴ
ステータス	公開済み
開始年	1999
最新版	5.0[1] 2019年3月7日
組織	OASIS
委員会	OASIS Message Queuing Telemetry Transport Technical Committee[2]
編集者	Andrew Banks（IBM）、Ed Briggs（Microsoft）、Ken Borgendale（IBM）、Rahul Gupta（IBM）[1]
関連する標準	MQTT-SN[3]
ウェブサイト	mqtt.org

MQTTのMQは、歴史的にはMQSeriesから来ているが、メッセージキューの機能は持たない。

非力なデバイスやネットワークが不安定な場所でも動作しやすいように、メッセージ通信電文が軽量に設計されていることが特徴である。

Pub/Sub型メッセージング·パターンには、サーバとしてメッセージブローカー（英語版）が必要である。

サーバは、メッセージのトピックに基づいて、それを必要としているクライアントにメッセージを配布する。

仕様はロイヤリティフリーで公開されていて、現在の仕様は5となっている。^[4]

歴史

1999年にIBMのアンディー・スタンフォード・クラーク（英語版）とArcom Control Systemsのアーレンニッパーによりプロトコルの最初のバージョンが執筆された。^[5]

その年の内にVersion 2を定義し、1999年10月22日にアップデートしたVersion 2.3でVersion3.1.1相当のパケットを備えるものとなった。^[5][6]

2000年にはVersion 3.0がリリースされた。^[5]

2007年にEurotech（英語版）に買収されたArcom Control Systemsは社名もEurotechに変更したため、MQTTの仕様はIBMとEurotechが管理するものになった。

2010年にVersion 3.1がリリースされた。^[5]

2014年10月29日にVersion 3.1.1がリリースされ11月13日に発表された。^[7][8] このバージョンからOASISが仕様を管理している。 また、2016年6月にISO/IEC標準のISO/IEC 20922:2016として採用された。^{[9] [10]}

2019年3月7日にVersion 5.0がリリースされ2019年3月19日に発表された。^[1][11]

特徴

MQTTには次のような特徴がある。

軽量なプロトコル

プロトコル電文仕様は軽量でシンプルになっていてヘッダーサイズは最小で２バイトである。^[12]

MQTTはロスレスで順序保証がされた双方向通信のプロトコル上で動作することが前提となっていて、TCP/IPとTLSとWebSocketが仕様で言及されている。^[13]ただし、これらのプロトコルを使用することに限定はしていない。

TLSを使う場合は8883、TLSを使わない場合は1883のTCPポートがIANAに登録されている。^[13]

柔軟性の高いメッセージ配布(Sub：購読)

配布先条件が/区切りの階層構造になっており、さらにワイルドカードによる指定ができる。^[14] 配布先はそのパターンにマッチした宛先になる。

• トピックベースでのPub/Sub
• 1対1、1対N、N対Nのメッセージ配布

メッセージ配布の品質

三種類の QoS (Quality of Service) レベルの指定ができる。^[15]

QoSレベルは単一の送信者と単一の受信者の間で適用される。^[15]

つまりサーバが同一のメッセージを複数のクライアントに配布を行う場合はそれぞれのクライアントで異なるQoSレベルが使用される場合がある。^[15]

またメッセージを配布するクライアントとサーバ間、トピックに応じて配布するサーバとクライアント間でも同じことが言えるためアプリケーションメッセージの品質を定義するものではない。

QoS 0: At most once delivery

最高１回の送信を行う。^[16] 使用しているトランスポート層の性能に応じたメッセージ配布を行う。^[15] メッセージが確実に届く保証はない。 メッセージ配布に失敗しても再送をしない。

QoS 1: At least once delivery

最低１回の送信を行う。^[17] 必ずメッセージを配布するが、重複する可能性がある。

QoS 2: Exactly once delivery

正確に１回の送信を行う。^[18] 必ずメッセージを配布して、重複も発生しない。

メッセージ再配布機能

クライアントが再接続をしたときにセッションが残っている場合はクライアントとサーバの両方が確認応答がないPUBLISHパケットとPUBRELパケットを再送信する。^[19]

これはメッセージが再配布される唯一の機会である。^[19]

QoS 0のPUBLISHパケットの再送信は行われない。

Willメッセージ

クライアントとの接続が正常にクローズされなかったときにサーバによって配布されるメッセージのこと。 ^[20]

クライアントがサーバに接続する際にCONNECTパケットにWillフラグとWillメッセージを含める。サーバはCONNECTパケットを受け入れた場合はWillメッセージをセッションに関連付けて保存する。^[21]

サーバはクライアントとのネットワーク接続が正常ではない方法でクローズされたとき保存しているWillメッセージを購読している別のクライアントに配布する。^[21]

MQTT Version 3.1までの仕様にはLast Will and Testamentと書かれていた。^[12] そのためLWTと言う略称で説明される場合がある。^[22]

Retain

クライアントがRetainフラグを有効にして配布したメッセージはサーバでトピックごとに上書き保存される。^[23]

クライアントがトピックの購読を行った際に保存されたメッセージがある場合はサーバにより購読したクライアントに配布される。

これによりクライアントはトピック購読前の最後のメッセージを受け取ることができる。

セキュリティ

MQTTは仕様として具体的なセキュリティの規定はない。 基本的に実装依存と下位層が持つ既存のセキュリティ技術を利用することとなっている。 ただし以下の言及がある。

CONNECTパケットにユーザネームとパスワードを含めることができる。^[24][25] これらを使ってBasic認証を行うことができる。^[26] ただし、これらのフィールドをBasic認証のみに使うことに限定しておらず、パスワードフィールドをベアラ認証のトークンを渡すために使うことなども言及している。^[25][26][27] MQTT Version 5.0からユーザネームを省略してパスワードのみクライアントからサーバに通知することができるようになった。^{[注釈 1][28]}

認可のために先述のユーザネームとパスワード以外にCONNECTパケットに含まれるクライアント識別子や下位層のプロトコルから得られるホスト名やIPアドレスが利用できることも言及している。^[29]

MQTT Version 5.0からAUTHパケットが追加され、２往復以上のハンドシェイクが必要な認証アルゴリズムにも対応できるようになった。^[26]

暗号化はTLSまたはVPNが利用できることに言及している。^[30]

OASISに管理が移管されたMQTT Version 3.1.1より、NISTのサイバーセキュリティフレームワークのMQTTを使用する際のガイドラインが用意された。^[31]

パケットタイプ

MQTT connection（QoS 0）の例。connect、publish/subscribe、disconnetを行っている。Client Bの最初のメッセージは、retainフラグが付いているため保存されている。

CONNECT/CONNACK

クライアントがサーバーとの接続が確立されるのを待機し、ノード間でセッションを作成する。

MQTT Version 5.0でサーバのオプション機能をクライアントに通知するために多くのパラメータが追加された。^[32]

SUBSCRIBE

クライアントがサーバにトピックを登録する。^[33]

PUBLISH

アプリケーションメッセージを配布するためにクライアントからサーバ、またはサーバからクライアントに送信される。^[34]

クライアントからPUBLISHパケットを受信したサーバはトピックを購読しているクライアントにPUBLISHパケットでメッセージの転送を行う。

DISCONNECT

MQTTクライアントが必要な処理を完了し、TCP/IPセッションが切断されるのを待機する。

MQTT Version 5.0よりサーバからもDISCONNECTパケットを送信する場合がある。^[32]

ブローカー

「en:Comparison of MQTT implementations」も参照

MQTTをサポートするブローカー（MQサーバ）は数多くある。それぞれのサーバがサポートする機能には、基本機能の他、サーバ特有の機能がある^[35]。

主なMQTTブローカーには以下のようなものがある。

OSS

• Mosquitto
• RabbitMQ（Pluginが必要）
• Apache_ActiveMQ
• MQTTnet - .NETによる実装。ライブラリであるが、短いコードで拡張可能な独自のブローカーを実装できる。

商用

• IBM MessageSight（ハードウェア）
• IBM WebSphere MQ Telemetry
• MqttDesk MQTT Client - ^[36]

使用しているプロジェクト

Facebook Messenger

FacebookのメッセンジャーにMQTTを使用している。

IECC Scalable

DeltaRail Group （現：Resonate Group（英語版））のIECC（英語版）シグナリング制御システムの最新バージョンではシステムとシグナリングシステムの他の構成要素との通信にMQTTを使用している。

セキュリティの課題

2018年8月16日にAvast Softwareはスマートホームシステムの制御で使われるMQTTサーバの多くがパスワードで保護されていないと言うレポートを発表した。^[37] レポートによると全世界で49,000台以上MQTTサーバが公開されており、そのうち32,000台以上がパスワードで保護されておらず通信内容を容易に確認できる。 レポートではMQTTの仕様および実装されたソフトウェアやライブラリにはセキュリティの問題はなくシステム構成時の問題であるとしている。

2018年12月4日にトレンドマイクロはM2M通信プロトコルの脆弱性に関するレポートを発表した。^[38] その中でMQTTのトピックに不正なUTF-8文字列を設定することによるDoS攻撃と、残り文字数フィールドを利用したバッファオーバーフロー攻撃が紹介されている。^[39]

2024年3月1日にトレンドマイクロはMQTTプロトコルの盗聴や改竄のリスクについてレポートを発表した。^[40] レポートによるとTLSで保護しているものの認証を必要としないMQTTサーバが数万台ありそのうち9000台程度が実際に稼働している。 レポートは顧客がベンダーにセキュリティの確保を求めていない、もしくは認識していないことが原因であると分析している。

脚注

注釈

1. MQTT Version 3.1.1ではUser Name Flagが0の場合Password Flagも0にする必要があった。

出典

1. MQTT Version 5.0
2. “OASIS Message Queuing Telemetry Transport (MQTT) Technical Committee Charter”. OASIS. 2020年12月15日閲覧。
3. “MQTT SN Subcommittee”. OASIS. 2020年12月15日閲覧。
4. MQTT Specifications
5. Ian Craggs (2024年6月20日), The Origin of MQTT, HiveMQ, https://www.hivemq.com/blog/the-history-of-mqtt-part-1-the-origin/ 2024年8月3日閲覧。
6. MQ Integrator Pervasive Device Protocol Protocol Version 2
7. MQTT Version 3.1.1
8. OASIS (2014年11月13日). “Foundational IoT Messaging Protocol, MQTT, Becomes International OASIS Standard”. OASIS. 2024年8月3日閲覧。
9. ISO/IEC 20922:2016
10. OASIS (2016年7月19日). “OASIS MQTT Internet of Things Standard Now Approved by ISO/IEC JTC1”. OASIS. 2024年8月3日閲覧。
11. OASIS (2019年3月19日). “#MQTT V5.0 Committee Specification 02 approved & published”. OASIS. 2024年8月3日閲覧。
12. MQTT Version 3.1
13. MQTT Version 5.0, 4.2
14. MQTT Version 5.0, 4.7
15. MQTT Version 5.0, 4.3
16. MQTT Version 5.0, 4.3.1
17. MQTT Version 5.0, 4.3.2
18. MQTT Version 5.0, 4.3.3
19. MQTT Version 5.0, 4.4
20. MQTT Version 5.0, 1.2
21. MQTT Version 5.0, 3.1.2.5
22. MQTTのLWTを利用してリアルタイムにAWS IoTに接続するデバイスの切断を検出する Amazon Web Services ブログ 2022年8月18日 2024年7月21日閲覧
23. MQTT Version 5.0, 3.3.1.3
24. MQTT Version 5.0, 3.1.3.5
25. MQTT Version 5.0, 3.1.3.6
26. MQTT Version 5.0, 4.12
27. MQTT Version 5.0, 5.4.1
28. MQTT Version 3.1.1, 3.1.2.9
29. MQTT Version 5.0, 5.4.2
30. MQTT Version 5.0, 5.4.5
31. MQTT and the NIST Cybersecurity Framework Version 1.0
32. MQTT Version 5.0, Appendix C
33. MQTT Version 5.0, 3.8
34. MQTT Version 5.0, 3.3
35. MQTT Broker Feature Comparison Feature comparison of the most popular MQTT brokers.
36. “Cross-Platform MQTT Client”. ioctrl.com. 2021年9月4日時点のオリジナルよりアーカイブ。2021年9月4日閲覧。
37. Martin Hron (2018年8月16日). “Are smart homes vulnerable to hacking?” (英語). Avast Software. 2024年8月24日閲覧。
38. Federico Maggi (2018年12月4日). “マシン・ツー・マシン（M2M）技術における設計および実装上の脆弱性”. トレンドマイクロ. 2024年8月24日閲覧。
39. “CVE-2018-17614” (英語). The MITRE Corporation (2018年9月28日). 2024年8月24日閲覧。
40. Ryan Flores, Charles Perine (2024年3月1日). “第三者によるデータの盗聴や改ざんの可能性も：MQTTプロトコルやM2M通信におけるリスク”. トレンドマイクロ. 2024年8月24日閲覧。

参考文献

MQTT仕様

• OASIS (2019年3月7日). “MQTT Version 5.0” (英語). OASIS. 2024年7月27日閲覧。
• OASIS (2014年10月29日). “MQTT Version 3.1.1” (英語). OASIS. 2024年8月3日閲覧。
  • “ISO/IEC 20922:2016”. ISO (2016年6月). 2024年8月3日閲覧。
• IBM, Eurotech (2010年). “MQTT V3.1 Protocol Specification” (英語). 2024年7月27日閲覧。
• IBM, Arcom Control Systems (2000年). “MQTT V3 Protocol Specification” (英語). 2024年8月3日閲覧。
• Andy Stanford-Clark, Arlen Nipper (1999年10月22日). “"MQ Integrator Pervasive Device Protocol" Specification "MQ/SCADA Protocol" Protocol Version Number: 2” (英語). 2024年8月3日閲覧。

その他関連文献

• OASIS (2014年). “MQTT and the NIST Cybersecurity Framework Version 1.0” (英語). 2024年8月24日閲覧。

外部リンク

• Official site
• Official website of Technical Committee