無線LANでMACアドレス認証はセキュリティ対策にならない？

最終更新日 2019年12月02日

「何を、何から守りたいのか」に立ち返って考える無線LANセキュリティ：あなたの無線LANに最適な認証方式は？ - ＠IT には、以下のとおり書かれています。(この記事の公開年月日は2016年12月12日)

　無線LANのセキュリティ対策として、事前共有鍵方式とともに挙げられることが多いのが、機器固有の情報であるMACアドレスによる認証だ。MACアドレス認証は、あらかじめ登録したMACアドレス以外の機器からの通信を排除する。

　「うちはMACアドレス認証を行っているから問題ない」、そのように考えている人も多いかもしれない。だが、少しWeb検索をしてみれば分かることだが、MACアドレスは容易に変更でき、そのためのツールも提供されている。

　しかも、もともとMACアドレスは、機器同士が通信するためにやりとりする宛先情報であるため、暗号化されていない。従って通信をキャプチャーすれば、そこを流れるMACアドレス情報は容易に取得できる。これを参照して自分の端末のMACアドレスを偽装すれば、簡単に正規の機器になりすまして認証をすり抜けられてしまう。つまり、MACアドレス認証は、実際のところ「あってないようなもの」なのだ。

MACアドレス認証を設定しても、MACアドレスを偽装し情報を盗む等の悪意あるユーザーの行為を防ぐことはできないようです。

同記事のさらなる解説によると、MACアドレス認証が有効な場面もあるそうで、例えば私物のスマートフォンで会社の無線LANを利用してはいけないルールになっているのに利用しようとする行為を防ぐ効果があるそうです。

MAC アドレス認証 これだけ危険 〜 Wi-Fi セキュリティ対策の誤解 | ScanNetSecurity には、以下のとおり書かれています。(この記事の公開年月日は2018年9月25日)

　“おざなりな対策” を具体的に見て行こう。例えば、Wi-Fi アクセスポイントのセキュリティ対策として一般的な MAC アドレス認証。宮崎氏に言わせれば「認証という名称がついているところに大きな誤解がある」という。

　MAC アドレスを用いたフィルタリングは、接続デバイスを指定できるというだけで、特に無線 LAN 環境においてはセキュリティ対策としての有効性は乏しい。アクセスポイントの接続数を制限したり、部署・グループごとのセグメントを作ったりする場合には機能するものの、「認証」の本当の意味である、「デバイスの真正性」「ユーザーの実存性・権限」などのセキュリティを担保するものではさらさらない。

(略)

　プロトコル上、無線 LAN における MAC アドレスは平文でやりとりされる。無線電波を傍受すればパケットアナライザやフリーツールで MAC アドレス情報を入手できる。パケットの MAC アドレス情報を偽装すれば、アクセスポイントへの接続は簡単だ。不正アクセスに対して明確な意思を持つ者にとって、MAC アドレスによる制御はなんの障害にもならない。宮崎氏がノーガードという所以の一つだ。

MACアドレス認証は、アクセスポイントの接続数を制限する等、有効な場面はあるようですが、セキュリティ対策のために利用してもセキュリティが強化されるわけではないようです。

無線LAN入門 | 無線LAN構築ソリューション 日立ソリューションズ には、以下のとおり書かれています。(この記事の公開年月日は不明)

手軽な認証方式として、無線LAN利用端末固有のMACアドレスに基づいて認証を行う、「MACアドレス認証」や、無線LAN利用端末のMACアドレスをアクセスポイントに登録することで、登録されたMACアドレスを持つ端末を認証する「MACアドレスフィルタリング」という、単純な認証方式があります。 しかし、MACアドレスは書き換えや、なりすましなどによる詐称が可能なために、セキュリティ対策としては通用しません。

MACアドレス認証は、ユーザーがパスワード等を入力する必要がないので単純で手軽な認証方式ですが、MACアドレスが詐称されるリスクがあるので、セキュリティ対策にはならないようです。

キャンペーン情報
富士通 ・スプリングセール クーポン利用で18〜24%OFF等の11大特典 （4月21日迄） ・ 学割キャンペーン 学生、教職員の方に特別割引クーポン等の学割特典 （キャンペーン実施中） ・シークレットクーポン 特別割引率のクーポン (5月12日迄)