Web屋のネタ帳

=== 冒頭なのに追記ここから ===
いくつかのブロガーの方からツッコミ＆追試を頼んだ個人的情報源からもタレコミをいただいた。 ライブドアワイヤレスのMACアドレス認証（ベータテスト開始）では、その「接続までのステップ」という解説を見るとMACアドレスだけで認証するかのように見えるのだが、実際のところは事前にWEPキー（申込み時に提示される10文字程度の英数字）を機器にあらかじめ設定しておくことが必要なので、以下に書いている「MACアドレスだけで認証うんぬん」という部分は間違いです。 WEPキー使うということは暗号化も一応されるということなので通信傍受に弱いという部分も間違いです。ただし、いまどきWEPじゃなくてWPA/WPA2使うべきだろとか言う話はもちろんあるものの、それを書き始めるとこの追記は恐ろしく長くなるうえにそのへんの話はもう何年も前からいろんなところで話題になっていることなので割愛させていただきます。

see also:
最速インターフェース研究会 :: livedoor Wirelessのラの字も考えてないWeb屋のネタ帳の誤読記事
情報処理推進機構：セキュリティセンター：無線LANのセキュリティに関する注意
=== 冒頭なのに追記ここまで ===

誰か止めるやつはいなかったのか。

livedoor Wireless MACアドレス認証 (注：2006/12現在はベータテスト扱い)

MACアドレスを元に機器の認証を行う仕組みです。お客様の端末のMACアドレスを事前にlivedoor Wirelessへ登録しておくだけで、従来必要であったWeb認証が不要になり、livedoor Wirelessのサービス提供範囲内に入れば自動的に高速無線LANが楽しめるようになります。

MACアドレス認証を新たにlivedoor Wirelessの認証方法として採用することで、今まで接続が困難であった、Webブラウザを搭載していない無線LAN搭載ゲーム機やPDA、携帯電話などからも簡単にlivedoor Wirelessに接続することができます。

どうやら、ライブドアの中の人は「正規利用者かどうかの確認＝一言で言うと認証」がMACアドレスだけで可能であるというおそろしい勘違いをしているらしい。 わかりやすく言うと、「MACアドレスだけで認証する」ということは「その人が自分の電話番号を言えるかどうかだけで認証する」と言っているのに近い。クリーニング屋の受け取りじゃあるまいし！？

さらにおかしなことに、 MACアドレス認証(βテスト) Wireless Q&A livedoor ヘルプというヘルプページには、 Wireless 用語 m livedoor ヘルプという用語集へのリンクがあるのだが、そのMACアドレスフィルタリングの用語説明には次のようにある。

MACアドレスフィルタリングとは

あらかじめ無線LANで利用する機器のMACアドレスを、アクセスポイントに登録をしておくことによって、登録されているMACアドレスを持つ機器以外からの通信を拒否できる機能のことです。

主に家庭用の無線LANに使われているセキュリティの一つです。 公衆無線LANの仕様上、livedoor Wirelessではこのセキュリティを利用していません。 （筆者注：「利用していません」というのは従来型の認証方式でのlivedoor wirelessの話であって、今回始まったMACアドレス認証というのはまさにこのMACアドレスフィルタリングのことである。）

登録されていない機器以外は接続できないため、新しいパソコンを購入した場合など、そのままでは無線LANを利用することができません。 必ずMACアドレスの登録作業が必要なため、運用が大変になるというデメリットがあります。 MACアドレスを偽装するツールなども存在するため、この機能だけでは、 完全に不正アクセスを防ぐことはできません 。

わかってるならなぜそれをやる！？！？

MACアドレスに関する誤解や、公衆無線LANサービスのセキュリティが今そうなっている理由についてまるで無理解であることが根底にあるのではないだろうか。

MACアドレスのよくある誤解その１： 「MACアドレスは無線機器毎に固定で完全に一意（他と重複が無い）なうえ、変更できないから、その機器が盗まれでもしない限り不正アクセスされる心配が無い」

そんなわけがない。確かに、NIC（ネットワークカード）ごとに一意になるようにMACアドレスが割り当てられているので、同じMACアドレスを持つNICはこの世にひとつしかない。しかしそれはタテマエ上の話である。実際にはMACアドレスを変更できるようになっているNIC（orそれを積んだ機器）はめずらしくない。こんなツールを使えばPCにささっているNICのMACアドレスをソフトウェア的に変更（つまり偽装）して使うことも可能だ。

MACアドレスのよくある誤解その２： 「MACアドレスはその機器（PC等）の持ち主しか知りえない」

そんなわけない。Windowsのコマンドプロンプトを開いて「arp -a」とたたいてみよう。

このように、同じLANにいる隣近所のマシンのMACアドレスを見ることができる。IPメッセンジャーなど入れてる人は、その画面の「更新」ボタンを押した直後にarp -aすると非常によくわかるだろう。単純に隣近所のIPにpingを打ちまくってからarpをたたくという方法でもかまわない。ブロードキャストアドレスにping (ex. ping 192.168.xxx.255 とか)でもいいだろう。これは相手がPCであれネットワークスイッチ機器であれニンテンドーDSであれ区別は無い。 EthernetにおけるMACアドレスとはそういう仕様である。別におかしなことではない。

別にこんな技術的なテクニックを使わずとも、NICカード（orそれを搭載した機器）そのものにMACアドレスが書いてあったりすることもある。

こうしたことから、認証のための情報＝第三者に簡単に知られるようなものではない情報＝としてMACアドレスを代用することがふさわしくないことは明白である。

一般的な話、公衆無線LANサービスのセキュリティは次のような要素によって守られている。

1. WEPキー
   通信内容の暗号化のためのキー。無線LAN電波が傍受されることによるセキュリティ侵害からユーザーを守るためのもの。
2. 無線LANサービスのIDとパスワード
   利用権限の無い人（ex.契約してない人、お金払ってない人）がネットワークに接続してしまうことを防ぐためのもの。また、無線LANサービスを経由してなんらかの犯罪行為がされた場合に、犯人を特定するための手がかりにもなる。
3. 無線LANサービスのIDとパスワードを打ち込む画面そのもの
   たとえばこのページの一番下の画像のような画面がブラウザに表示される。この画面は「これからあなたがつなごうとしているネットワークはライブドアワイヤレスですよ」というアピールでもある。 もしもライブドアとはっきり書かれていないorこの画面自体が存在しないと、ライブドアワイヤレスにつなごうとして、うっかり別の無線LANアクセスポイント（セキュリティ設定の甘いやつ）に接続してしまうかもしれない。

このベータサービスにGOサインを出したライブドアの中の人は、こうした無線LANのセキュリティの基本をまるでわかっていらっしゃらないようだ。 「（MACアドレスだけで）いきなりつながる」ということは、間違ってそのへんの「野良無線LAN」につながってしまいしかもそれに気づかないという可能性は十分にありうる。それでMACアドレス情報が簡単に第三者にばれる。それはユーザー責任？ああそうですか。

ライブドアがやろうとしていることは、通信電波の傍受によるセキュリティ侵害にも、MACアドレスの偽装による成りすまし被害にも、とてつもなく弱い。 どうやらライブドアは自社サービスネットワークをコンピュータ犯罪の温床として育てるつもりのようだ。

see also:

• 他人の無線LANにタダ乗りの恐怖 (2004/6)
• 日本もやるべきだと思う→「セキュリティなしの無線LANは危険」、米加州でラベル貼付を義務付け (2006/8)
• livedoor wireless、MACアドレスによる認証を開始--ニンテンドーDSにも対応 (CNET Japan 2006/12)
「livedoor Wireless」にMACアドレス自動認証サービス　DSやSkypeフォン向け (ITmedia News 2006/12)