MAC アドレス制限は “効果ゼロ”

Soliton White Paper 2017
MAC アドレス制限は “効果ゼロ”
～NetAttest EPS で見直す企業無線 LAN のセキュリティ～
株式会社ソリトンシステムズ
シーティーシー・エスピー株式会社
SMKT1510-D
Soliton White Paper 2017
目次
第 1 章 MAC アドレス制限は ”効果ゼロ“ ......................................3
本当に怖い MAC アドレスフィルタリング ...........................................................3
遅れが目立つ無線 LAN セキュリティ ...............................................................4
求められるのは IEEE 802.1X 認証 .................................................................5
第 2 章 IEEE802.1X 認証は難しくない ..........................................7
持ち込みスマートフォンから情報が流出するリスク .................................................7
認証強度の高い EAP-TLS を利用すべき .............................................................8
SIer と NIer のノウハウを結集、EAP-TLS を簡単に構築 ..............................................9
第 3 章電子証明書配布には "罠" が潜んでいる ...............................11
秘密鍵は"実印"、公開鍵は"印鑑証明"のようなも ..................................................11
証明書配布に潜む "罠" ..........................................................................12
"罠" に嵌らない仕組みを検討すべし ............................................................13
利便性を損なわず、管理者の手間も削減し、ネットワークセキュリティを高める .......................15
2
MAC アドレス制限は “効果ゼロ”
第1章
MAC アドレス制限は “効果ゼロ”
スマートフォンやクラウドの進展により、企業の無線 LAN 環境のセキュリティ対策が急務になりつつある。
特に、危惧されるのは、MAC アドレスフィルタリングや PSK 認証といった穴の多い技術を使い続けることのリ
スクだ。本当に必要とされる無線 LAN セキュリティ対策は何か。ソリトンシステムズが提供する認証サーバア
プライアンス「NetAttest EPS」の機能を紹介しながら、求められる無線 LAN セキュリティの姿を提案したい。
本当は怖い MAC アドレスフィルタリング
ネットワーク機器に割り当てられた MAC アドレスを使ってネットワークへのアクセス制
限を行う MAC アドレスフィルタリング。家庭用ルーターなどでは無線 LAN セキュリティの
1 つの機能のように扱われ、ときには「MAC アドレス認証」といった認証方式の 1 つのよ
うな言い方をされることもある。このため、「完全ではないものの一定の効果は期待でき
るセキュリティ機能」などと理解している方も多いのではないだろうか。
しかし、MAC アドレスフィルタリングは、昨今の企業を対象にしたサイバー攻撃に対し
て、セキュリティ上、ほとんどなんの意味も持たないことがわかっている。「効果は限定
的」
「無いよりはまし」といったレベルではなく、場合によっては「MAC アドレスフィルタ
リングを設定して安心している」ことが、セキュリティ管理の甘いネットワークであるこ
とを攻撃者に対して通知する機会を与えることにもつながっている。
MAC アドレスフィルタリングが"危ない"理由の 1 つは、なりすましが容易いことだ。MAC
アドレスはネットワーク上で暗号化されないため、無線 LAN のパケットをキャプチャすれ
ば外部から丸見えだ。MAC アドレスを変更できるツールはインターネットで配布されてお
り簡単に入手できる。つまり、悪意を持った攻撃者は、それらツールを使って MAC アドレ
スを偽装するだけで、あっさりと、かいくぐることができるのだ。
図 1 ネットワーク上で暗号化されていない MAC アドレス
3
Soliton White Paper 2017
もちろん、かいくぐった後は暗号化通信の解読などが必要だ。ただ、MAC アドレスフィ
ルタリングを「セキュリティ対策の一環」として実施し安心している企業であるなら、そ
の他のセキュリティ対策も不十分であることが予想できる。攻撃者はその隙をついて、WEP
などの簡単に解読できる暗号方式を使っていないか、簡単なパスワードを使いまわしてい
ないかを調べていくわけだ。
昨今の標的型サイバー攻撃を見ればわかるように、攻撃者の手法は巧妙化の一途をたど
るばかりだ。いまこそ、攻撃者を利する対策ではなく、企業無線 LAN について、本当に効
果のあるセキュリティ対策を実施すべきだ。
遅れが目立つ無線 LAN セキュリティ対策
本来望まれる企業無線 LAN のセキュリティ対策とはどのようなものだろうか。現在の企
業無線 LAN について、取り巻く環境の変化、リスク、必要な対策などの点から振り返って
みよう。
図 2 現在の企業無線 LAN における、環境と技術面の変化
環境の変化としては、スマートフォンやタブレットの急速な普及が大きい。私物 PC の
持ち込みや USB メモリへのコピーなども長らく危険性は指摘されながらも、ようやく禁止
する企業が増えてきた。しかし、私物スマートフォンを社内で使うことに対してはまった
く配慮されていない現状がある。USB メモリを会社 PC に挿すことを諫める人は居ても、私
物スマートフォンの利用に注意を払う人はほとんどいない。情報漏洩のリスクという点で
は同じであるにも関わらず社内制度やポリシーが追いついていないのだ。
同様に技術面でのリスクも大きく変化している。MAC アドレスフィルタリングや WEP 暗
号化や、SSID ステルス化（SSID Broadcast OFF、ANY 接続拒否）
、WPA2-PSK による通信。
従来は代表的な無線 LAN のセキュリティ対策に挙げられていたものだが、現在では十分な
セキュリティが確保できない。WEP はもはや論外として SSID ステルス化も、無線クライア
ントからは SSID 情報を誰でも取得することができる。
一般に、より強固だと思われている WPA2-PSK にも"罠"がある。PSK（プレシェアードキ
4

Download Report