WEPが瞬殺されてもMACアドレス制限で安全になるんじゃないの?

少なくとも、WEP+MACアドレス制限な無線LANにノートPCを接続させるのは超危険
この問題は結構ややこしい。明確な事実として、MACアドレスによる接続制限は根本的な解決策にはなり得ない。ただし、「DSのみをWEPで繋ぐ」という方法と併用すれば、安全性を一歩上げるための「現実的に可能な」対策となるケースもある。なぜそういうことになるのか、「基本的な流れ」として回答する。

参考:WEP本格死亡の日が近い?DSの運命はどうなる……? :教えて君.net
今回のQ&Aは上記記事を下敷きにしている。「DSのみをWEPで繋ぐ」という方法に関しても上記参考記事を参照。一言で言えば、ルーターを買い換えるか、USB等の無線LANアダプタを買うかの二択だ。

さて、確認しておくと、「WEPクラック」による被害は、大きく分けて三種類だ。

  • 通信を盗聴されるので、暗号化されていない通信が全て丸見えになる
  • 不正ログインされると共有フォルダなどを覗かれる
  • 不正ログインされると、いわゆる「ただ乗り」を行われる

まず一番最初、「通信を盗聴される」に関して。

重要な事実として、無線LANを使った通信は空中を飛び交っているのだから、盗聴のために「不正ログイン」を行う必要はない。空中からデータを拾い、そのデータを読み取ることで、無線LANにログインする必要なく通信内容を読み取ることができる訳だ。

WEPやWPAが利用されているネットワークであれば、「空中を飛び交うデータ」は暗号化されている。暗号化されているが、WEPをクラックすれば、暗号化されたデータを解読することができる。MACアドレス制限という、不正ログインを防ぐための(とされている)対策は、そもそも通信盗聴と何の関係もない。

次に二番目と三番目、「不正ログイン」に関して。

重要な事実は二つある。
まず、MACアドレスの情報は、通信内容自体の暗号化(WEP/WPA)と無関係に、空中で暗号化されてはいないということ。つまり、暗号化されていない無線LANであろうと、WPAの無線LANであろうと、「現在接続しているマシンのMACアドレス」というものは、盗聴によっていくらでも取得可能な情報なのだ。
次に、「MACアドレス」というのは、あくまで自己申告の情報だということ。本来機器に割り当てられているのとは別のMACアドレスを名乗る、即ち「MACアドレスを偽装する」ということは可能だ。PCとPSPでの方法はネトラン本誌、iPhoneでの方法は「教えて君.net」内で公開されている(参考:iPhone/touchでMACアドレスを偽装できる「Stealth MAC」 :教えて君.net)。
従って、まず現在接続しているマシンのMACアドレスを空中から盗み見て、そのMACアドレスになりすます、「なりすましただ乗り」という手法が成立する。

最初に戻る。

通信盗聴を防ぐための方法として、MACアドレス制限は完全に無意味だ。攻撃側の観点としても、「不正ログインを行えばバレる確率が上がる」のだから、盗聴のために不正ログインを行う必要はない。従って、WEPが瞬殺されるのであれば、「ノートPCやDSなどを同じWEPネットワークに接続させる」のは、「ノートPCによる無線通信を一切暗号化せずに行う」のとほぼイコールだということになる。

不正ログインを防ぐための方法として、MACアドレス制限は、場合によって一定程度に有用だ。
DSのみをWEPネットワークに繋ぐ(ノートPCなどはWPAネットワークか、もしくは有線LANに繋ぐ)場合、「WEPの無線LANに接続できる機器(DS)のMACアドレス」は、DSをネット接続している間しか盗難され得ない。ただし、それはWEPキーも同様。「WEPを瞬殺する」には、「そのWEPネットワーク内の(暗号化された)通信データを拾う」が必要だからだ。別の言い方をすれば、「通信データを拾えば、WEPも瞬殺できるし、接続中な機器のMACアドレス(=接続を許可されているMACアドレス)も分かる」ということになる。
従って、「MACアドレス制限が不正ログインを防ぐ手段になりうるか」という問題の論点は、あるポイントに集約される。「既に接続している機器と同じMACアドレスの機器が接続しようとしたらどうなるか」。
これは、環境次第だ。Wikipediaには「MACアドレスが競合すると、ルーターやNICを破損させてしまう可能性がある」と書いてあるが、実際問題、壊れてしまうケースは非常に少ない(というか「可能性論」として書かれているだけの話?)。実際に競合させてみて、競合時に不正ログインを成立させないことが分かれば、「MACアドレス制限は不正ログインを一定程度に防ぐ」ということになる。……「最初に通りすがったときにDSのMACアドレス(とWEPキー)を盗み、次に通りすがったとき、DSが接続していなかったら、なりすましただ乗りを行う」という攻撃を受ける可能性は消えないので「一定程度」だけど。

まとめると、

  • ノートPCとDSを一つのWEPネットワークに繋ぐのは超危険
  • DSを接続させたいなら、現実的に可能な対策は「DSのみをWEPネットワークに繋ぐ」「そのWEPネットワークで(競合時に不正ログインを防げるのであれば)MACアドレス制限を行う」の併用

ということになる。……逆に言えば、「それ以上の対策を取るのは難しい(WPAに対応したDSiを買って無線LANをWPAで統一するしかない)」ということだ。

執筆:tokix (tokix.net)

2008年10月20日 19時47分
©教えて君.net All Rights Reserved.