無線LANを安全に利用するには、用途にあった認証方式を選び運用していく必要があります。無線LANにアクセスしようとするユーザーやデバイスを確認することで、不正アクセスを防ぐためです。しかし、その設定や管理方法を誤ると、通信の盗聴や不正利用といった重大なリスクを招くことになってしまいます。そうならないよう、企業の担当者はどのような対策を施すべきでしょうか。
【総合受付窓口】
大塚商会 インサイドビジネスセンター
0120-579-215(平日 9:00~17:30)
MACアドレス制限は“効果ゼロ”今さら聞けない「無線LAN認証」の基本【1/4】
無線LANを安全に利用するための要となる「認証」ですが、実はMACアドレスの制限では効果がありません。どういった対応が有効なのかも含めて無線LAN認証の基本をご紹介します。
はじめに
スマートフォンやタブレットの普及にも後押しされ、いまや不可欠な通信インフラとなった「無線LAN」。家電量販店には安価で高性能な無線アクセスポイントが並び、企業の中にも、一般家庭と同じような機器・セキュリティ設定で運用をされている場合があるでしょう。しかし、この無線LANの設定を間違えると、取り返しのつかない事態に陥ってしまいます。本書では、無線LANを安全に利用するための要となる「認証」の基本について分かりやすく説明します。
パーソナルとエンタープライズの違い
まず、無線LAN認証の種類を簡単に整理します。スマートフォンやPC を家庭用無線ルーターに接続した経験があれば、端末の設定画面で「WPA/WPA2 パーソナル」「WPA/WPA2 エンタープライズ」などといった項目を目にしたはずです。WPA/WPA2 はセキュリティ規格のことで、暗号化方式と組みあわせて「WPA-TKIP」「WPA2-AES」などと表記される場合もあります。なお、認証の種類は「パーソナル」「エンタープライズ」などの部分から分かるようになっています。
例えば、Windowsにおける無線LAN認証の種類は以下のように表示されています。
パーソナルとは、「PSK(Pre-Shared Key/事前共有鍵)」と呼ばれる共通のパスフレーズで認証する方式です。接続先となるネットワーク名を示すSSIDとPSKを指定するだけで利用できる手軽さから、個人や家庭向けの小規模な無線LANで広く普及しています。
一方、エンタープライズは、ユーザーやデバイスを専用のサーバーを使って認証する外部認証タイプであり、この方式では、個別のID・パスワードや電子証明書が用いられます。家庭用ルーターや公衆無線LANを日常的に利用していると、企業利用であってもWPA/WPA2パーソナル(WPA/WPA2-PSK)を使えば十分なセキュリティが担保できると思ってしまいがちですが、これは極めて危険な誤解です。パーソナル(個人)とエンタープライズ(企業)と分けられるのには、しかるべき意味があります。
企業での「PSK認証」は危険!?
企業における無線LANの認証方法にPSKを採用すると、どのような危険があるのでしょうか。
まず、パスフレーズが流出する場合を想定してみましょう。企業無線LANに接続している(=共通のパスフレーズが設定されている)デバイスを紛失したり盗難にあったりすると、そのデバイスが企業オフィスに近づくだけで企業無線LANに接続されてしまいます。デバイスを悪意ある攻撃者に操作されれば、ネットワークパケットのキャプチャーツールなどを使って、通信内容の傍受と情報の窃取もできてしまいます。
また、盗難や紛失のほかに近年の脅威として注視しなければならないのが、内部の人間による不正です。会社に不満を持ちながら退職した人間が、在職中に使っていたSSIDとパスフレーズで企業無線LANにアクセスする可能性は十分にあり得ますし、内部の関係者やパートナーの中にも、犯行を企てるケースを想定する必要もあるでしょう。
こうしたデバイスの盗難や紛失、退職・異動によるユーザーの入れ替わりなどが発生した際には、直ちにパスフレーズを変更する必要があります。PSK認証では全員が同じフレーズを利用しているため、その対象は無線LANを継続利用する全てのデバイスとアクセスポイントです。また、変更作業中はネットワークに接続できなくなるため、業務に大きな影響が出ないよう速やかに作業を完了させなければなりません。一般的なパスワードの運用と同じく定期的に変更しておいた方がよいでしょう。
つまり、企業ネットワークにパーソナル(PSK)方式を選択するなら、セキュリティ強度とリスクの評価とは別に、頻繁に大規模な設定作業を行う覚悟と、不定期なネットワーク停止を前提にする必要があるのです。
「MACアドレス認証」は悪意を持った攻撃者の前では無意味
PSK認証に加えて「MACアドレス認証」という方式を採用する場合もあります。頻繁に使用される言葉なので、一度は耳にしたことがあるのではないでしょうか。MACアドレス認証とは、ネットワーク機器に割り当てられたMACアドレス(Media Access Control Address)を利用して、ネットワークへのアクセスを制限する手法です。
家庭用ルーターなどでは、MACアドレス認証をまるで無線LANセキュリティの機能の一つとして扱われることがあります。そのため、「完全ではないものの一定の効果は期待できるセキュリティ機能」といったように理解し、たとえ共通パスフレーズが漏れてもMACアドレス認証を併用し、デバイス自体のアクセスを制御すればいいのではと考える人も多いのが実情です。
しかし、これは大変危険な状況です。MACアドレス認証について誤った理解のまま運用すると、攻撃者に悪用されかねません。
そもそも、MACアドレスは認証という用途には向いていません。ある要素を「認証」に用いるには、第三者に情報が知られず、また偽装もされにくいことが最低限の条件になりますが、MACアドレスはこうした要件を全く満たしていないのです。
MACアドレスはネットワークデバイス固有の値だが、それは通信するために便宜的に割り当てられたものに過ぎません。いうなれば住所のようなものです。通信相手に積極的に開示される情報であり、全く隠されていません。
無線LANでは通信が暗号化されているので大丈夫では? と誤解されがちですが、むしろ有線LANよりも危険なのです。通信するために用いるMACアドレスは暗号化の範囲に含まれておらず、空中を飛び交っているパケットを収集すれば、許可されているであろうMACアドレスを、容易に知ることができてしまいます。
また、通信に用いるMACアドレス情報を後から変更することは禁止されていません。書き換えるツールは、インターネット上で「MACアドレス 書き換え」などのキーワードで検索すれば、すぐに見つけることができます。その気になりさえすれば、特別な技能や機材がなくてもMACアドレスを取得し、端末にその値を設定して、何の苦もなくアクセスできるのです。
実際に、MACアドレス認証を突破してネットワークに侵入された事例も報告されています。例えば2016 年6 月に起きた佐賀県教育情報システムでの情報漏えい事件では、校内無線LANの一部にMACアドレスによる制限が行われていましたが、犯人はMACアドレス認証を突破し個人情報を窃取しています。
MACアドレスは、一定の「フィルタリング」を行うことはできますが、デバイス認証の手段としては、全く頼りになりません。「進入禁止」と書かれた規制テープのようなものであり、一定の抑止効果はあるものの悪意を持った攻撃者はそれを気にもとめず乗り越えてくることを理解したうえで導入すべきでしょう。
まさかMACアドレスは無意味だったなんて...じゃあどうしたら?
ナビゲーションメニュー