無線LAN(Wi-Fi)セキュリティで「MACアドレス認証」が割に合わないと言われる理由

無線LAN(Wi-Fi)セキュリティで「MACアドレス認証」が割に合わないと言われる理由

みんな大好き「MACアドレス認証」とは

みんな大好きMACアドレス認証。またはMACアドレスフィルタリング。

なんとなく、お手軽でリーズナブルな印象のあるセキュリティ対策ですが・・・無線LANとの相性はとても悪く、(リーズナブルどころか)完全に割に合わない認証方式です。

その理由について説明していきます。

「MACアドレス認証」または「MACアドレスフィルタリング」とは、被認証端末のMACアドレスをチェックし許可・拒否を判定する仕組みです。

「MACアドレス」についての解説は以下を参照。

MACアドレス(マック・アドレス、英語: Media Access Control address)とは、ネットワーク上で、各ノードを識別するために設定されているLANカードなどのネットワーク機器のハードウェアに(原則として)一意に割り当てられる物理アドレスである。OSI参照モデルでいえば、第2層(データリンク層)Media Access Controlのアドレスにあたる。

Wikipedia

一応、原則として一意(=同じ値を持つモノは他にはいない)情報なので、端末特定に利用されることがあります。

「MACアドレス認証」が割に合わない理由

「MACアドレス認証」は、(無線LAN環境においては特に)認証として機能しません。悪意ある攻撃者に対しては無力です。

そもそも、「認証」が正しく機能するためには以下の条件を満たさなければなりません。

  • 認証情報は第三者に秘密にできる。
  • 認証情報は第三者が容易に行使できない。

これが「MACアドレス認証」はダメダメです。もぅ、ホントに駄目駄目。

MACアドレスは簡単に収集できる

MACアドレスは無線区間で暗号化されておらず、パケットキャプチャを実行することで容易に収集できます。

無線LANのセキュリティの基本中の基本が「暗号化」なので「無線通信 = 盗聴できない」と思われているケースがあるようですが・・・MACアドレスは平文(暗号化されていない状態)で空中を飛び交っています

そもそもMACアドレスは通信に使うための情報です。ここまで暗号化してしまうとパケットは届きませんし、戻ってもきませんから。

お目当の無線アクセスポイントと沢山通信している端末があれば、そのパケットに注目してください。許可MACアドレスとして登録されいることでしょう。

MACアドレスは簡単に変更できる

MACアドレスは変更することができます

それも割と簡単に。Googleなどで検索すれば手順がザクザク出てきます。

ネットワーク通信をする部品(ハードウェア)に刻まれた情報を書き換えるようは大それた話ではありません。通信パケットに値を入れているのはOSなので、ソフトウェア的に「コレを代入して」と指定してあげればお好みのモノに変わります。

結局のところ

MACアドレス認証は「その気」になりさえすれば、(許可されているアドレスを)パケットキャプチャして収集し、それを任意の端末にセットすれば突破できます。

人手不足の時代

にもかかわらず苦労は一人前です。

“正しい”MACアドレスを正規端末から正確に収集し管理しなければなりません。無味無臭な文字列を正しく登録し、端末の紛失時・廃棄時には即座に削除し、ホワイトリストを常に正しい状態にし続けます。

人手不足が叫ばれて久しい昨今。貴重な情シスのリソースをそんな報われないことに割くべきではありません。

MACアドレスは完全に無意味か?

誤解なきように。

MACアドレス認証が完全に無意味という訳ではなく「割りに合わない」と言っています。

セキュリティカテゴリの最新記事