無線LAN(Wi-Fi)のセキュリティにMACアドレスフィルタリングはもう古い、弊害が大きく、やる価値なし

無線LAN、今はなぜかWi-Fiと呼ぶ人がほとんですが、セキュリティにMACアドレスフィルタリングをかけている人がいます。どちらかというと法人のほうが多いかもしれません。しかし、もう、そんなの全く意味がないばかりか、弊害のほうが大きいです。

無線LANのセキュリティとしてMACアドレスフィルタリングというものがあります。今でもできる機種がありますが、ネットワーク機器のインターフェースに必ず付いているユニークな番号で、同じものは2つとないことになっています。これを登録することで、登録した機器からしか無線のアクセスを受け付けないというものですが、もはや意味はありません。

そもそも偽装は簡単なため、この設定ではセキュリティにならないことです。ユニークな番号であるがゆえに、スマートフォンのような電源が常時入って持ち歩くものに使われるようになって、この番号による追跡が簡単なことから、Androidはしばらく前から、iPhoneはiOS14からやっと通常の通信でもランダムな数値を使うようになりました。ちなみにiPhoneでは「Wi-Fiアドレス」と表記しています。

そのおかげで、MACアドレスフィルタリングをかけているところとは、最新OSにアップデートしたスマートフォンから接続ができなくなって問題になっています。

この回避法として、ランダムなMACアドレスを付ける設定をオフすることが紹介されています。iPhoneでは「プライベートアドレス」をオフにする設定ですが、これは一時的な回避策として、今後も設定し続けてはいけないでしょう。iOSの場合、接続先ごとに設定が変えられるので影響は少ないですが、もはや、MACアドレスフィルタリングそのものをやめるべきで、どうしても個別の端末に制限の可否を与えたいのならもっと新しい方法を考えるべきでしょう。

プライベートアドレスをオフにするとランダムなMACアドレスを使うことをやめるが、追跡されやすくなる

ちなみに、MACアドレスを収集することは簡単です。たとえば、お店にフリーのWi-Fiがあったとします。都度認証ではなく、壁にSSIDとキーが張ってある場合は、その設定はスマートフォンに残ってることが多いです。その結果、来店時には自動的にスマートフォンが接続することになり、そこでそのMACアドレスの機器が接続したことを記録すればいいのです。

その結果、来店するたび、または店の前を通った情報が収集されます。それだけなら問題が少ないですが、来店タイミングと別の情報を名寄していくうちにさまざまな情報ができあがります。ポイントカード、クレジットカード、防犯カメラ映像、一緒に行動している機器のMACアドレスなど、いろいろなことが考えられます。その情報が別のところに持ち出されたり、別の情報とさらに紐付けていくと、非常に恐ろしいことができることがわかります。ならばスマートフォン側が対策するのは当たり前と言えます。

店独自のフリーのWi-Fiなら設定しないとMACアドレス収集は難しいですが、たとえば通信会社のフリーWi-Fiの設定が最初からスマートフォンに入っていて、偽のSSIDのアクセスポイントを設置して情報収集をしたらどうなるかということです。

また、SSIDをブロードキャストしない設定、いわゆる「ステルスSSID」も要注意です。その設定もしてはいけないでしょう。隠したつもりでも、接続設定したスマートフォンが呼ぶ電波を出した瞬間にわかってしまいますし、そのスマートフォンが移動してあちこちでその隠したはずのSSIDを呼び続ける電波を出すからです。場合によっては、家バレにもつながります。

言えることは、昔の無線LANのセキュリティの認識のままでは非常にまずいということです。いまだにMACアドレスフィルタリングやステルスSSIDを設定している場合は一刻も早く設定を変えてください。逆に言えば、このような設定をしているとセキュリティ対策が旧式であると想像され、標的にされる可能性が高まります。そして、昔からSSIDやキーなどを変えていない場合は、何年か一度は全く新しくしたほうがいいでしょう。仮にセキュリティキーが漏れていても、この時点で不正接続をカットできるかもしれません。

なお、これから新しく無線LAN機器を買う場合は、Wi-Fi 6の対応もそうですがWPA3対応がいいでしょう。WPA3対応にしても、実際、機器によって設定が違い、場合によってはあまり意味ない場合もあるので、いずれ分かってる範囲で解説したいと思います。

[商品価格に関しましては、リンクが作成された時点と現時点で情報が変更されている場合がございます。]

NEC 無線ルーター PA-WG1200HS4 Aterm [ac/n/a/g/b]
価格:4369円(税込、送料無料) (2021/5/4時点)

楽天で購入

 

WPA3対応の無線LANルータ。Wi-Fi 5でも新製品が出ているのはWPA3対応のためということが多い。

 

無線LAN(Wi-Fi)のセキュリティにMACアドレスフィルタリングはもう古い、弊害が大きく、やる価値なし” に対して2件のコメントがあります。

  1. 匿名 より:

    法人なんかは意味なくないだろ
    デタラメ書いて悪いことでもしたいのか?
    法人は勝手に機材持ち込むバカもいるからかけて当たり前
    フィルタを否定しているブログが多いが、あっち側の意見か?と思うわ

    1. アバター画像 電気仕掛けの家 より:

      必要と思うならMACアドレスフィルタリングをすればいいでしょう。
      ただ、それで安心してしまってる事例もあって「弊害が大きくやる価値なし」としています。
      そして、この話は無線LANの話ですが、普通、法人でMACアドレスを設定して制御しているのは無線ではなくDHCPサーバなどではないでしょうか。

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です

このサイトはスパムを低減するために Akismet を使っています。コメントデータの処理方法の詳細はこちらをご覧ください