テックブログ

無線LANにおけるセキュリティについて 第2回

皆様こんにちは。技術部の向井です。

前回に続き、無線LANにおけるセキュリティについて皆様に紹介していきたいと思います。
些細な内容ではありますが、皆様方のセキュリティ対策に少しでも力添えできれば幸いです。

それでは第2回目となる今回は、無線LAN機器のセキュリティ機能として搭載されていることも多い

  • MACアドレス制限

  • SSIDステルスモード

について触れていきます。

※下記内容を用いて行う一切の行為、被った損害・損失に対しては、一切の責任を負いかねますので、ご了承の上お読み下さい。

MACアドレス制限について

1. MACアドレス制限の概要

そもそも有線、無線に関わらず、ノートPCやスマートフォンなどの通信機器が通信を行うためには『NIC』(Network Interface Card)と呼ばれる装置が必要です。

参考URL
『NIC 【 Network Interface Card 】』
http://e-words.jp/w/NIC-2.html

そして、この『NIC』には、製造元に応じて『MACアドレス』と呼ばれる固有の番号が設定されています。この番号は単純なシリアルナンバーというわけではなく、通信を行う際にも用いられる情報となっています。

参考URL
『MACアドレス 【 Media Access Control address 】』
http://e-words.jp/w/MACアドレス.html

MACアドレス制限とは、無線LAN機器側でMACアドレスのリストを事前に作成しておき、

  • リストに登録されているMACアドレス(を持つクライアント)からの接続は許可する

  • そうでない場合は接続を禁止する

という接続制限を提供する仕組みとなります。

一見したところ、機器によっては認証の機会すら与えられないわけですので、非常に効果的な機能のように思えます。

思えますよね。そう思えるのですが・・・。

2. MACアドレス制限の問題点

このMACアドレス制限においては、以下2点の問題が指摘されています。

  • 通信において、MACアドレスに関する部分は暗号化されていない

  • MACアドレスは、特定の手法で変更することができる

前回の記事で「無線LANにおける通信に関しては暗号化されていることが一般的」と述べましたが、実はこのMACアドレスに関する部分については暗号化されていないのです。

更には、先ほど「MACアドレスは固有の番号」と述べましたが、特定のネットワークカードや設定ツールなどを用いることで、このMACアドレスを任意の内容に変更して通信を行うことが可能になります。

この2点を組み合わせますと

  • 無線LAN機器の通信を傍受し、通信が有効なクライアントのMACアドレスを取得する

  • 自身のクライアントに、先ほど取得したMACアドレスと同様の値を設定(偽装)する

といったプロセスで、このMACアドレス制限を潜り抜け、無線LAN機器への接続が可能になってしまうというわけです。

SSIDステルスモードについて

1. SSIDステルスモードの概要

無線LAN機器は通常、一定の間隔で『ビーコン』(Beacon)と呼ばれる「自分のSSIDは○○です」という信号を発信しています。

スマートフォンなどのクライアントからWi-Fiに接続しようとした際に、いろんなSSIDが表示されたことは皆様経験されたことがおありかと思います。これは、クライアントが様々な無線LAN機器からこのビーコンを受け取っているからなのです。

・・・そうなのです。このビーコンは特定の端末に対してのみ発信されるものではなく、無線LAN機器の範囲内に存在する不特定の端末に対して発信されるものなのです。

ところで、無線LAN機器への接続においては、『SSID』と『暗号化キー』の情報が必要になります。

『暗号化キー』を秘匿するのは当然として、『SSID』も秘匿化することで、攻撃の対象から外れようとする仕組みが、このSSIDステルスモードなのです。

実際に無線LAN機器を利用するクライアントに関しては、事前にSSIDの登録設定を行うことでビーコンを受け取らずとも接続を可能にしています。

こちらも一見したところ、接続に必要な情報を2重で秘匿化していますので、非常に効果的な機能のように思えます。

思えますよね。そう思えるのですが・・・。

2. SSIDステルスモードの問題点

このSSIDステルスモードにおいても、以下2点の問題が指摘されています。

  • 事前に登録したクライアントから接続要求を行った際に、無線LAN機器がSSID情報を発信してしまう

  • この発信されたSSID情報については暗号化されていない

暗号化されていないSSID情報が発信されるということは、通信内容を傍受・解析されればSSIDが判明するということです。

また、接続するクライアントによってはステルスモードにそもそも対応していないケースもあるそうです。

いかがでしたでしょうか。これらの機能を過信し、暗号化方式や暗号化キーの強度を弱めることをなさらないようにして下さい。

ちなみに前回も今回も『無線通信データが傍受されたら』と表現を何度も用いましたが、それではこの無線通信データを傍受することはどれだけ難しいことなのでしょうか。

次回はそちらについて説明を行いたいと思います。それではまた。

実績数30,000件!
サーバーやネットワークなど
ITインフラのことならネットアシストへ、
お気軽にご相談ください