MAC アドレス認証 これだけ危険 ~ Wi-Fi セキュリティ対策の誤解 | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2018.12.15(土)

MAC アドレス認証 これだけ危険 ~ Wi-Fi セキュリティ対策の誤解

もはや電気や水道のようなインフラと化した Wi-Fi インターネット接続。しかし、それは本当に安全なのだろうか。一般的に有効と考えられている Wi-Fi のセキュリティでも、誤解、過信、誤用が多い。

研修・セミナー・カンファレンス セミナー・イベント
 もはや電気や水道のようなインフラと化した Wi-Fi インターネット接続。しかし、それは本当に安全なのだろうか。一般的に有効と考えられている Wi-Fi のセキュリティでも、誤解、過信、誤用が多い。

 「無線 LAN において一般に安全とされている対策も、実は危険な場合がある」と警鐘を鳴らす男がいる。株式会社ソリトンシステムズの 宮崎 洋二 氏だ。

 ソリトンシステムズは、自社開発の認証系製品に定評のあるベンダーで、宮崎氏は、IT セキュリティ事業部でプロダクトマネージャを務め、長年にわたって認証サーバーやイントラネットにおける認証ソリューションの開発に携わってきた。そのキャリアの中で、無線 LAN セキュリティへの誤解や、危険なアクセスポイントの多さを肌で感じている。

 危険な状態が広がる背景として、宮崎氏がまず指摘するのは「企業の情シス部門や現場の利用者と、ネットワーク構築事業者( NIer )の間のマインドギャップ」だ。

 無線 LAN には有線 LAN 以上のセキュリティが求められる。攻撃者はオンサイトで機器に接続する必要がなく、オフィスフロアへの(物理的な)不法侵入も不要である。このため不正アクセスを試みるハードルは圧倒的に低くなり、より攻撃を引き込みやすくなるからだ。

 無線 LAN のこうした性質は認知されてきた筈だが、現実には、誤解、過信、誤用などにより “おざなりな対策” で安心してしまっているケースは多いという。

 強固なセキュリティが求められる無線 LAN において“おざなりの対策”となってしまう背景はこうだ。ユーザー企業は、ネットワーク構築事業者( NIer )から提案された無線LAN機器、Wi-Fi アクセスポイントでは一定の対策がなされ安全だと無意識に信じている一方、NIer は、機器のセキュリティ対策は顧客からのリクエストがないかぎり積極的には提案しない場合がある。企業向けのセキュリティシステムは追加提案ととらえられ、コスト高の印象を与えてしまう恐れがあるからだ。

 このマインドギャップを水道にたとえるなら、ユーザーは「蛇口をひねれば “普通” に飲める水が出る」と無意識に期待し、一方の工事業者はユーザーからの申し出がなかったために「ろ過や消毒を行わなければ安心して飲めない」水道を引いてしまった状況と言える。

 “おざなりな対策” を具体的に見て行こう。例えば、Wi-Fi アクセスポイントのセキュリティ対策として一般的な MAC アドレス認証。宮崎氏に言わせれば「認証という名称がついているところに大きな誤解がある」という。

 MAC アドレスを用いたフィルタリングは、接続デバイスを指定できるというだけで、特に無線 LAN 環境においてはセキュリティ対策としての有効性は乏しい。アクセスポイントの接続数を制限したり、部署・グループごとのセグメントを作ったりする場合には機能するものの、「認証」の本当の意味である、「デバイスの真正性」「ユーザーの実存性・権限」などのセキュリティを担保するものではさらさらない。

 SSID のステルス機能も同様だ。SSID をブロードキャストしないというだけで、設定が有効でもプロトコルの知識があれば、SSID を読み取るのは簡単だ。攻撃の意図にかかわらず SSID の保護機能はない。

 また、無線経路の暗号化について、WEP は簡単に破られるので使ってはいけないという認識は広がっているが、WPA2 にも落とし穴がある。一般的に WEP よりも安全とされている AES が採用されているが、これは暗号化アルゴリズムそのものの強度が高いというだけで、暗号化するための手順や処理まで安全とはいえない。

 市販 Wi-Fi ルーターなどのデフォルト設定である WPA2-Personal は、暗号化のための鍵を事前にアクセスポイントと接続する全てのデバイスで同じものを共有する。この方式では、違う人のデバイスでも同じ鍵で暗号化通信を行っている。これに対して、WPA2-Enterprise は、ネットワーク内に認証サーバー( LDAP、RADIUS など)が存在する前提で、認証処理をサーバー側で行う。イントラネット内のユーザーデータベースに基づいたアカウント認証を行うため、セキュリティ強度は上がるが、アクセスポイントだけでは成立しないセキュリティだ。

 宮崎氏は続けて指摘する。企業の無線 LAN セキュリティの実態を整理すると、まず 「法人向けアクセスポイントに認証サーバーを適用し適切な運用を行っている企業」 と、「法人向けアクセスポイントを導入しているが MAC アドレスをセキュリティ対策の要素に利用している企業」、そもそも 「市販の家庭用アクセスポイントを利用している企業」の 3 段階に分けることができるという。このうち最初の運用以外は、企業のセキュリティ対策としては合格点に達していない。運用方針によってはノーガードに等しい状況に陥っている可能性すらある。」

 プロトコル上、無線 LAN における MAC アドレスは平文でやりとりされる。無線電波を傍受すればパケットアナライザやフリーツールで MAC アドレス情報を入手できる。パケットの MAC アドレス情報を偽装すれば、アクセスポイントへの接続は簡単だ。不正アクセスに対して明確な意思を持つ者にとって、MAC アドレスによる制御はなんの障害にもならない。宮崎氏がノーガードという所以の一つだ。

 では、無線 LAN 環境のセキュリティ対策には何が有効なのか。アクセスポイントが単独で提供するセキュリティ機能は限定的で、明確な意思を持った攻撃者には無力だ。法人向けアクセスポイントは、接続数やスループットなどパフォーマンス面でも優れる製品は多いが、法人向けとしての本質は WPA2-Enterprise に対応すること、すなわち外部の認証サーバーとの連携する機能にある宮崎氏はいう。

 無線 LAN 接続のセキュリティ対策の基本は、MAC アドレスや SSID とパスコードは認証にならないと肝に銘じ、認証情報を専用のサーバー(ソリトンシステムズのソリューションであれば NetAttest EPS )に任せることだ。専用機器(アプライアンス)の他、クラウドサービスも存在するため、初期投資が難しい中小企業でも利用することができる。

 Wi-Fi セキュリティに関する宮崎氏の知見は、10 月 3 日 (水) 都内で開催されるカンファレンス Security Days Fall 2018 で発表される。従来の Wi-Fi セキュリティの誤解やインシデント事例、有効な対策方法についても解説される。社内の無線 LAN を MAC アドレス認証で管理している企業や、本記事にひとつでも心当たりのあるなら必聴セッションといえるだろう。

10月3日(水) 14:15-14:55
JPタワー ホール&カンファレンス(JPタワー KITTE 4F)
「無線LANの認証セキュリティに関する注意事項~陥りやすい誤解と3つの提案」
《中尾 真二( Shinji Nakao )》

関連記事

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

カテゴリ別新着記事

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊20年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×