MAC アドレス認証 これだけ危険 ~ Wi-Fi セキュリティ対策の誤解 | ScanNetSecurity
2021.01.27(水)

MAC アドレス認証 これだけ危険 ~ Wi-Fi セキュリティ対策の誤解

もはや電気や水道のようなインフラと化した Wi-Fi インターネット接続。しかし、それは本当に安全なのだろうか。一般的に有効と考えられている Wi-Fi のセキュリティでも、誤解、過信、誤用が多い。

研修・セミナー・カンファレンス セミナー・イベント
株式会社ソリトンシステムズ マーケティング部 プロダクトマネージャ 宮崎 洋二 氏
株式会社ソリトンシステムズ マーケティング部 プロダクトマネージャ 宮崎 洋二 氏 全 1 枚 拡大写真
 もはや電気や水道のようなインフラと化した Wi-Fi インターネット接続。しかし、それは本当に安全なのだろうか。一般的に有効と考えられている Wi-Fi のセキュリティでも、誤解、過信、誤用が多い。

 「無線 LAN において一般に安全とされている対策も、実は危険な場合がある」と警鐘を鳴らす男がいる。株式会社ソリトンシステムズの 宮崎 洋二 氏だ。

 ソリトンシステムズは、自社開発の認証系製品に定評のあるベンダーで、宮崎氏は、IT セキュリティ事業部でプロダクトマネージャを務め、長年にわたって認証サーバーやイントラネットにおける認証ソリューションの開発に携わってきた。そのキャリアの中で、無線 LAN セキュリティへの誤解や、危険なアクセスポイントの多さを肌で感じている。

 危険な状態が広がる背景として、宮崎氏がまず指摘するのは「企業の情シス部門や現場の利用者と、ネットワーク構築事業者( NIer )の間のマインドギャップ」だ。

 無線 LAN には有線 LAN 以上のセキュリティが求められる。攻撃者はオンサイトで機器に接続する必要がなく、オフィスフロアへの(物理的な)不法侵入も不要である。このため不正アクセスを試みるハードルは圧倒的に低くなり、より攻撃を引き込みやすくなるからだ。

 無線 LAN のこうした性質は認知されてきた筈だが、現実には、誤解、過信、誤用などにより “おざなりな対策” で安心してしまっているケースは多いという。

 強固なセキュリティが求められる無線 LAN において“おざなりの対策”となってしまう背景はこうだ。ユーザー企業は、ネットワーク構築事業者( NIer )から提案された無線LAN機器、Wi-Fi アクセスポイントでは一定の対策がなされ安全だと無意識に信じている一方、NIer は、機器のセキュリティ対策は顧客からのリクエストがないかぎり積極的には提案しない場合がある。企業向けのセキュリティシステムは追加提案ととらえられ、コスト高の印象を与えてしまう恐れがあるからだ。

 このマインドギャップを水道にたとえるなら、ユーザーは「蛇口をひねれば “普通” に飲める水が出る」と無意識に期待し、一方の工事業者はユーザーからの申し出がなかったために「ろ過や消毒を行わなければ安心して飲めない」水道を引いてしまった状況と言える。

 “おざなりな対策” を具体的に見て行こう。例えば、Wi-Fi アクセスポイントのセキュリティ対策として一般的な MAC アドレス認証。宮崎氏に言わせれば「認証という名称がついているところに大きな誤解がある」という。

 MAC アドレスを用いたフィルタリングは、接続デバイスを指定できるというだけで、特に無線 LAN 環境においてはセキュリティ対策としての有効性は乏しい。アクセスポイントの接続数を制限したり、部署・グループごとのセグメントを作ったりする場合には機能するものの、「認証」の本当の意味である、「デバイスの真正性」「ユーザーの実存性・権限」などのセキュリティを担保するものではさらさらない。

 SSID のステルス機能も同様だ。SSID をブロードキャストしないというだけで、設定が有効でもプロトコルの知識があれば、SSID を読み取るのは簡単だ。攻撃の意図にかかわらず SSID の保護機能はない。

 また、無線経路の暗号化について、WEP は簡単に破られるので使ってはいけないという認識は広がっているが、WPA2 にも落とし穴がある。一般的に WEP よりも安全とされている AES が採用されているが、これは暗号化アルゴリズムそのものの強度が高いというだけで、暗号化するための手順や処理まで安全とはいえない。

 市販 Wi-Fi ルーターなどのデフォルト設定である WPA2-Personal は、暗号化のための鍵を事前にアクセスポイントと接続する全てのデバイスで同じものを共有する。この方式では、違う人のデバイスでも同じ鍵で暗号化通信を行っている。これに対して、WPA2-Enterprise は、ネットワーク内に認証サーバー( LDAP、RADIUS など)が存在する前提で、認証処理をサーバー側で行う。イントラネット内のユーザーデータベースに基づいたアカウント認証を行うため、セキュリティ強度は上がるが、アクセスポイントだけでは成立しないセキュリティだ。

 宮崎氏は続けて指摘する。企業の無線 LAN セキュリティの実態を整理すると、まず 「法人向けアクセスポイントに認証サーバーを適用し適切な運用を行っている企業」 と、「法人向けアクセスポイントを導入しているが MAC アドレスをセキュリティ対策の要素に利用している企業」、そもそも 「市販の家庭用アクセスポイントを利用している企業」の 3 段階に分けることができるという。このうち最初の運用以外は、企業のセキュリティ対策としては合格点に達していない。運用方針によってはノーガードに等しい状況に陥っている可能性すらある。」

 プロトコル上、無線 LAN における MAC アドレスは平文でやりとりされる。無線電波を傍受すればパケットアナライザやフリーツールで MAC アドレス情報を入手できる。パケットの MAC アドレス情報を偽装すれば、アクセスポイントへの接続は簡単だ。不正アクセスに対して明確な意思を持つ者にとって、MAC アドレスによる制御はなんの障害にもならない。宮崎氏がノーガードという所以の一つだ。

 では、無線 LAN 環境のセキュリティ対策には何が有効なのか。アクセスポイントが単独で提供するセキュリティ機能は限定的で、明確な意思を持った攻撃者には無力だ。法人向けアクセスポイントは、接続数やスループットなどパフォーマンス面でも優れる製品は多いが、法人向けとしての本質は WPA2-Enterprise に対応すること、すなわち外部の認証サーバーとの連携する機能にある宮崎氏はいう。

 無線 LAN 接続のセキュリティ対策の基本は、MAC アドレスや SSID とパスコードは認証にならないと肝に銘じ、認証情報を専用のサーバー(ソリトンシステムズのソリューションであれば NetAttest EPS )に任せることだ。専用機器(アプライアンス)の他、クラウドサービスも存在するため、初期投資が難しい中小企業でも利用することができる。

 Wi-Fi セキュリティに関する宮崎氏の知見は、10 月 3 日 (水) 都内で開催されるカンファレンス Security Days Fall 2018 で発表される。従来の Wi-Fi セキュリティの誤解やインシデント事例、有効な対策方法についても解説される。社内の無線 LAN を MAC アドレス認証で管理している企業や、本記事にひとつでも心当たりのあるなら必聴セッションといえるだろう。

10月3日(水) 14:15-14:55
JPタワー ホール&カンファレンス(JPタワー KITTE 4F)
「無線LANの認証セキュリティに関する注意事項~陥りやすい誤解と3つの提案」

《中尾 真二( Shinji Nakao )》

関連記事

この記事の写真

/
PageTop

特集

アクセスランキング

  1. VPN製品に関する脆弱性対策情報の深刻度別割合、「危険」「警告」で95%を占める

    VPN製品に関する脆弱性対策情報の深刻度別割合、「危険」「警告」で95%を占める

  2. 先端セキュリティ企業は互いをどう評価したか、ゼロトラストネットワーク 4 つの条件

    先端セキュリティ企業は互いをどう評価したか、ゼロトラストネットワーク 4 つの条件

  3. 2020年 企業へのサイバー攻撃動向総括 ~ 盗まれた認証情報はいくらで売りに出されるか

    2020年 企業へのサイバー攻撃動向総括 ~ 盗まれた認証情報はいくらで売りに出されるか

  4. 日本も457台が被害に、テレワークがもたらしたPCからの情報窃取の現実

    日本も457台が被害に、テレワークがもたらしたPCからの情報窃取の現実

  5. 仮想通貨取引所「Liquid」への不正アクセス最終報、APIキー等169,782件の流出を確認

    仮想通貨取引所「Liquid」への不正アクセス最終報、APIキー等169,782件の流出を確認

  6. 我が社の IoT 活用の課題 総洗い出し ~ JSSEC IoT セキュリティチェックシート活用方法

    我が社の IoT 活用の課題 総洗い出し ~ JSSEC IoT セキュリティチェックシート活用方法

  7. Bugtraq の死と復活、歴史あるコミュニティにアクセンチュアがとった処遇

    Bugtraq の死と復活、歴史あるコミュニティにアクセンチュアがとった処遇

  8. 売上規模別に見た 全 IT 投資中のセキュリティ予算比率 ~ 東証上場企業

    売上規模別に見た 全 IT 投資中のセキュリティ予算比率 ~ 東証上場企業

  9. ファイル誤添付、Excel 別シートに新型コロナ接触者情報記載

    ファイル誤添付、Excel 別シートに新型コロナ接触者情報記載

  10. 一体どうバランスを取るか?  高度なサイバー攻撃対策 & 日々のセキュリティ運用

    一体どうバランスを取るか? 高度なサイバー攻撃対策 & 日々のセキュリティ運用PR

ランキングをもっと見る