この記事は、MACアドレスフィルタなんて「意味なし」や「効果ゼロ」という巷のウワサの真偽を考察し、本当に意味がないのか、効果がゼロなのか白黒はっきりさせます。スマホ依存で困っているご家庭は、世の中にたくさんあります。キッズタイマーにも使われているMACアドレスフィルタは本当にオワコンなのか、否定的な意見の背景には何があるかを説明し、親御さんが安心してインターネットの利用制限することで、子どもの健全な成長をサポートします。
のんびり理系おじさんは技術者です。技術者は、根拠が伴わないあいまいな意見に価値はないと思っています。納得できる説明は、すべての状態を漏れなく調査した上で、肯定的な部分と否定的な部分を比較対照し、問題となる部分をフォーカスして説明しなくてはいけません。一方的な意見や、都合の良い結論だけ持ち出して、不安をあおってオワコンだとか書いている記事を目にするのは残念です。良いものは、たくさんの人に使ってもらいたい。問題が発生する可能性があることは知っておいてもらいたい。
そんな思いから、否定的な意見を説明することで、みなさんのMACアドレスフィルタの不安を解消したいと思いました。さて、本題に入ります。現代社会は、スマホやタブレットが、ひとり1台にまで普及し、インターネットに手軽に接続できるようになりました。スマホやタブレットは、24時間いつでも、手軽にゲームで遊んだり、インターネットで情報収集することができます。WiFiルータは、スマホやタブレットに、インターネット接続を手軽に楽しむ環境を提供する通信機器として確固たる地位を確立しました。
WiFiルータに実装されたMACアドレスフィルタは、無線WiFiが使われ始める前からあるレジェンド機能です。いにしえから時を刻んできたレジェンド機能に否定的な意見が散見される理由はなぜか。MACアドレスフィルタをベースに生まれたキッズタイマー、スマホやタブレットのMACアドレスのランダム化など、WiFiルータが歩んできた時の流れとともに説明します。
記事のポイント
- 「意味なし」や「悪影響」の真偽を知る
- 否定的な意見の背景にあるものを知る
- MACアドレスのランダム化の影響を知る
- 企業内ネットワークでも現役で利用されることを知る
下記のメーカは、MACアドレスフィルタ機能があるWiFiルータを発売しています。
 |
 |
 |
 |
フィルタの意味なしや悪影響の真偽
様々な否定的な意見について、具体的に考察をします。
なぜ意味なしと言われるのか
「セキュリティ効果が低い」「接続認証の手段としては頼りにならない」というのがMACアドレスフィルタが意味がない評価している理由のようです。MACアドレスフィルタは、登録されたMACアドレスを持つ端末のみがWiFiルータへの接続を許可される機能です。登録されていない端末からの不正アクセスを防ぐという意味では、確かにセキュリティ対策の1つですが、MACアドレスフィルタでセキュリティ対策をしようとするのは現実的ではありません。
よって、「意味なし」の言葉の前には、「MACアドレスフィルタだけでセキュリティ対策をした場合」という言葉が付いていると考えておくべきでしょう。例えば、もう誰も使わないWEPなどの古い暗号化や認証方式を採用し、MACアドレスフィルタだけでセキュリティ対策をするのは意味がありません。いや、採用してはいけないダメなセキュリティ対策です。
セキュリティ対策は、一般的なWPA2やWPA3といった暗号化や認証方式を採用し、利用制限でMACアドレスフィルタを採用することは、とても大きな意味があります。MACアドレスフィルタは、接続認証と利用制御の両方の目的で利用するのではなく、WiFiルータの利用者を限定する目的で使用するべきです。
効果ゼロと言われる原因は
「ネットワークに詳しい技術者は、容易にMACアドレスを偽装して情報を盗み取れる」というのがMACアドレスフィルタは効果ゼロのとしている理由のようです。確かに、パソコンは追加アプリ不要で、MACアドレスを書き換え、別の装置になりすまして通信することも可能ですが、スマホやタブレットは状況が異なります。
パソコンと同様にスマホやタブレットはMACアドレスを偽装できるのかと問われると答えはノーです。いや、root化したスマホやタブレットであれば、MACアドレスを変更できますが、国内の大手キャリアは、スマホやタブレットのroot化を許可せず、root化した端末の販売も行っていません。スマホやタブレットは、なりすますことができないので効果アリです。
「効果ゼロ」とする前提条件には、「パソコンを使用するユーザには」が入るわけで、すべての端末に対して効果ゼロというわけではありません。また、家庭のWiFiルータから情報を盗み取る価値があるのか、疑問でもあります。本当に重要な情報は、無線を使うべきではありません。無線は電波で情報を送るので、アンテナ受信できる範囲にいる機器には情報が伝わります。無線WiFiで取り扱うデータは暗号化さていますが、無線WiFiに限らず、暗号化は、お金と時間さえ掛ければ解除できます。
さらに重要なのは、見知らぬ端末をWiFiルータに接続させないことです。MACアドレスは暗号化されないので、パケットをキャプチャすれば、通信が可能なMACアドレスが判別できます。WiFiルータ側面のシールに貼られているデフォルトの接続ID(SSID)や接続パスワードを変更せず、そのまま使っていると暗号化も接続認証も容易に突破されてしまいます。
効果ゼロにならないよう、側面シールに書かれた接続ID(SSID)や接続パスワードを使わないようにすることが重要です。
どんな悪影響があるのか
AndroidやiPhoneをはじめとするスマホは、標準設定でMACアドレスのランダム化がオンになっています。MACアドレスフィルタでインターネット接続を許可する端末のMACアドレスを登録したのに、ランダムでMACアドレスが変わってしまいインターネットへの接続ができなくなることを「悪影響」としているようです。
これについて、ネットワーク技術者であるのんびり理系おじさんは、MACアドレスをランダム化でコロコロ変更させる方が悪影響ではないかと思います。もちろん、「効果ゼロ」で説明したとおりMACアドレスはWPA2やWPA3で、暗号化されず、そのまま伝送されているので、不正アクセスの足掛かりを回避する対策として、MACアドレスのランダム化は有効と思います。また、IPv6のインターフェースIDは、MACアドレスを基に決定するので、MACアドレスをランダム化することで、特定の通信をキャプチャされるにくくなるのでセキュリティ効果があります。
ただし、のんびり理系おじさんはWiFiルータをIPv6で動作させることに否定的です。数千人規模の世界的な大企業でも、社内ネットワークにIPv6を採用していません。ISPや回線事業者などの特殊な業界を除き、社内外のネットワークを明確に分離するため、社内はIPv4で構築することが一般的です。結局、IPv6接続においてMACアドレスのランダム化はセキュリティ面では効果的ですが、WiFiルータをIPv4動作させる分においてMACアドレスのランダム化は悪影響しかないので、MACアドレスフィルタを悪者にしないでくれといったところです。
なお、MACアドレスフィルタやキッズタイマーを使ったインターネット利用制限は、スマホやタブレットのMACアドレスのランダム化をオフにする必要があります。コロコロとランダムでMACアドレスが変わってしまうと制限することができません。
MACアドレス認証は危険なのか
MACアドレス認証は、メーカがネットワーク機器に割り当てたMACアドレスを利用し、特定のMACアドレスを持つ機器だけがネットワークにアクセスできるようにする機能です。つまり、MACアドレス認証は、MACアドレスフィルタの別の呼び方です。真実性や正当性を証明するものとして用いる「認証」を目的としてMACアドレスフィルタを導入するのは危険です。
古い家庭用のWiFiルータの取扱説明書では、不正利用を防ぐ機能として、MACアドレスフィルタを紹介している場合がありますが、それは正しくありません。端末が持つMACアドレスは、IPネットワークの知識がある者であれば、容易に調べることができます。また、パソコンを使って特定のMACアドレスを持つ端末になりすますことも可能です。
MACアドレス認証が危険なのではなく、真実性や正当性を証明するものとしてMACアドレスを認証に利用するのは危険です。MACアドレスフィルタは、端末を限定するためのフィルターとして機能させましょう。
フィルタ動作で速度低下するのか
MACアドレスフィルタは、WiFiルータの通信速度を大幅に低下すると書かれていることがありますが、これは完全なデマです。WiFiルータは、ソフトウェアで通信パケットを処理する装置なので、MACアドレスフィルタの登録数の増加は、WiFiルータのCPU負荷の増加につながることは正しいです。しかし、MACアドレスフィルタは、パケットの送信元MACアドレスを参照して、特定のMACアドレスを持つパケットのみ通過させ、該当しないパケットは破棄するだけなのでCPU負荷は大きくありません。
破棄するだけといっても処理は重くなるよね?という方もいると思うので、WiFiルータが、MACアドレスフィルタを処理した後のパケットを考えてみましょう。WiFiルータは、LAN側に接続された端末から送られたパケットを自宅内でしか通用しない送信元IPアドレス192.168.***.***とMACアドレスをルータのWANポートのIPアドレスとMACアドレスに変換しないといけません。192.168.***.***というIPアドレスは、プライベートアドレスと言って、自宅などクローズしたネットワーク内での使用に限定され、WAN側のグローバルネットワークには流してはいけないのです。
これは、WiFiルータのIPマスカレード(NAPT)と呼ばれる機能であり、WiFiルータを通るすべてのパケットは、MACアドレスとIPアドレスの書換え処理が必要となります。WiFiルータのCPU負荷は、特定パケットを破棄するだけのMACアドレスフィルタと、パケットの中身を書き換えるNAPTと比較すると、あきらかにNAPTの方が処理が重いので、MACアドレスフィルタの処理が通信速度が大幅に低下するわけではありません。
勝手に解除されるのは本当か
WiFiルータの設定変更は、スマホやパソコンに管理画面を表示させる必要があるので勝手に設定を解除することはできません。最近はパスワード解析ツールと、RPA(Robotic Process Automation)を組み合わせれば、パスワードを解読することができるとは思いますが、自宅のWiFiルータのパスワードを解除するために使う人はいないと思います。もし、中高生で、これらの方法を駆使してパスワード解読できるのであれば、確実にIT業界へ就職できます。
ただし、のんびり理系おじさんは、勝手に設定を解除されたかもと錯覚したことがあります。バカ息子のインターネット利用を制限し始めた頃、出張から帰ってきたら、設定したはずのMACアドレスフィルタが解除されて、バカ息子が楽しそうにインターネットで遊んでいるのです。しょうがないので、MACアドレスフィルタの設定をやり直すのですが、しばらくすると、同じような状態になりました。
そこで、バカ息子の動きをしばらく観察することにしました。バカ息子がWiFiルータ前に立った直後から、WiFiルータは、MACアドレスフィルタの動作を停止しました。そうです、彼はWiFiルータを出荷時の初期化に戻していたのです。WiFiルータは、特定のボタンを押しながら起動すると、出荷時の初期状態に戻すことができます。もちろん、私が登録したMACアドレスフィルタの登録情報は、綺麗に消えていました。
なお、この錯覚には、WiFiルータ側面に貼られたシールのデフォルトの接続ID(SSID)と接続パスワードを変更しないことが条件です。のんびり理系おじさんは、現場を押さえるまで、気が付く事ができませんでした。WiFiルータのリセットボタン対策は、下記の記事を参考にしてください。 この記事は、WiFiルータのハードリセットを説明し、子どもがリセットボタンを使って、WiFiルータの設定を初期化することで、インターネット利用の制限を強制的に解除できないようにする方法を説明します。 ...
【子育てコラム】おじさん出張中にバカ息子が初期化したNECのWiFiルータのハードリセット対策
勝手に設定を解除されたのは錯覚であり、実際は、WiFiルータの設定が出荷時の初期状態に戻っただけでした。
MACアドレスフィルタ導入に向けて
のんびり理系おじさんが、自宅WiFiルータにMACアドレスフィルタを導入した切っ掛けは、バカ息子からスマホを取り上げて、しばらくしたら中古のスマホを買ってきて、また遊び始めたことです。バカ息子の椅子に座っている時間が、ある時から急に長くなり、オカシイと気が付きました。最初は、スマホが手元からなくなり、諦めて勉強を始めたのかとは思いましたが、よく観察すると、勉強の進みが明らかに遅いです。
のんびり理系おじさんが、こっそり近づくと、バカ息子はカサカサと何かを隠します。息子の耳に目線を向けると、イヤホンケーブルが繋がっています。ケーブルを追いかけると見慣れないスマホがありました。
このケーブルは何かな
この前、取り上げたよね?
この前、学校の
帰りに買ってきた
お前なぁ~!
バカ息子の話では、祖父から貰ったお年玉で中古のスマートフォンを買ってきて、友だちとゲームをしていたとの事でした。先日、のんびり理系おじさんは、担任の先生から、このままでは高校を卒業できないと説明を受けたばかりです。3年生に上がる時、担任に拝み倒して、「勉強するように、親から息子に積極的な指導をします」という念書まで書かされて進級したいのに、現実を全く分かっていません。
のんびり理系おじさんは、勉強したくなければ、高校なんて行かなくても良いと思いますが、バカ息子は、幼稚園児と同じで、下手でも先生の真似をすれば卒業できると勘違いしているようです。自主的に考えないバカには高校は無理です。今すぐ退学し方が良いと伝えましたが、バカ息子は態度を改めません。困ったものです。
さて、ここからは、MACアドレスフィルタの導入について、具体的に解説していきます。
MACアドレスランダム化の解除
MACアドレスフィルタやキッズタイマーでインターネット制限するには、スマホのMACアドレスランダム化をオフにする必要があります。iphoneの場合は、「設定」「WiFi」「変更したいSSID」と選択します。プライベートアドレスをオフにすると、固定したMACアドレスになります。
androidの場合は、「設定」「ネットワークとインターネット」「WiFi」「変更したいSSID」「詳細設定」「プライバシー」「デバイスのMACを使用」で固定したMACアドレスに変更することができます。
iOSの場合
androidの場合
次に、MACアドレスのランダム化がオフになったか確認するために、MACアドレスのベンダー名(製造者名)を確認します。MACアドレスがランダム化がオンのままだと、インターネット利用は制限できません。まずは、下記のサイトにアクセスします。
https://uic.jp/mac/
MACアドレスの先頭3バイトはメーカ番号なので、さきほど、スマートフォンに表示された先頭3バイトを入力して検索します。
該当するメーカが出てきたら、端末が持つMACアドレスです。iPhoneの場合、Vendor nameがAppleと出てきます。
ランダム化がオンのままや、番号の入力を間違えるとベンダーが見つからないと表示されます。
MACアドレスフィルタに登録
WiFiルータのMACアドレスフィルタ搭載状況は下表のとおりです。
NEC Atermシリーズの「MACアドレスフィルタリング」は登録した端末を許可、「見えて安心ネット」は、登録した端末を拒否する機能となります。「MACアドレスフィルタリング」と「見えて安心ネット」は同時に使用できません。ELECOMは、同じ機能名でも、発売された時期より許可/拒否の動作が違います。詳しくはELECOMのマニアック解説を参照してください。
Atermシリーズ |
AirStationシリーズ |
|
|
| 機能名称 | MACアドレス フィルタリング、 見えて安心ネット |
MAC アクセス制限 |
アクセス コントロール |
| 登録数 | 32台、64台 (機種による) |
64台 | 20台 |
| 設定方法 | 許可/拒否 | 許可のみ | 許可/拒否 |
| 制限範囲 | 2.4G、5.0G 無線のみ制限 |
2.4G、5.0G 無線のみ制限 |
有線+無線 を同時制限 |
| オススメ度 | ◎ | ◎ | ○ |
NEC AtermシリーズのMACアドレスフィルタリングと、バッファローのAirStatitonの具体的な設定例を紹介します。なお、NEC Atermシリーズは、これから説明する「MACアドレスフィルタリング」機能をやめてしまいました。ぜひ、復活させてもらいたいです。
NEC Atermの場合
「基本設定」を選び、「子機の接続制限」で、「MACアドレスフィルタリング」のラジオボタンを選択します。「設定」ボタンを押します。
MACアドレスフィルタリングのエントリ一覧が出てくるので、「追加」ボタンを押します。
接続を許可するMACアドレスを入力し、「設定」ボタンを押します。MACアドレスは2桁ずつコロン(:)で区切ります。例)12:34:56:78:90:AB
次に、Wifiに設定を割りつけます。2.4G、5.0Gの両方において、MACアドレスフィルタリング機能をONにして「設定」ボタンを押します。
設定内容を更新しましたとダイアログが表示されたら設定は完了です。我が家にある古いWiFiルータ WR9500Nも画面はダサいですが、ほぼ同じ手順で設定が可能でした。
Buffalo AirStationの場合
「詳細設定」「無線設定」「MACアクセス制限」の順でクリックします。
- 「登録リストの編集」をボタンを押します。
- 新規追加する場合は、登録するMACアドレスを入力し、
「新規追加」をボタンを押します。
MACアドレスは2桁ずつコロン(:)で区切ります。
例)12:34:56:78:90:AB - Wifiルータが検出したMACアドレスを登録する場合は、
検出された無線パソコン一覧の「登録」ボタンをします。 - リストの登録が終わったら「編集を終了して前の画面に戻る」ボタンを押します。
- 制限する帯域のチェックボックスにチェックを入れ、
「設定」ボタンをクリックします。
検出されたMACアドレスを基に登録できるのが良いですね。
機能のメリット
MACアドレスフィルタは、スマホが普及するずっと前から存在するレジェンド機能です。WiFiルータ黎明期から存在する優れた機能を徹底的に解説します。 この記事では、キッズタイマーのベースとなったMACアドレスフィルタを使ったインターネット利用制限を説明します。WiFiルータには、レジェンド機能であるMACアドレスフィルタが搭載されています。WiFi ...
【機能ガイド】キッズタイマの草分け機能MACアドレスフィルタリングの効果6選をあげてみた
機能のデメリット
MACアドレスは、いつのまにランダムに変わるようになったの? ランダム化したMACアドレスによって、インターネット利用を制限には、どんな弊害があるのか、MACアドレスフィルタに突き付けられた最近の問題を整理します。 この記事は、キッズタイマーの元になったMACアドレスフィルタが使われなくなった理由と、使用することで生じる問題を説明します。子どものインターネット利用制限でMACアドレスフィルタを使うデメリットを知り ...
【機能ガイド】悪意のある攻撃に無防備なMACアドレスフィルタリングのデメリット6選をあげてみた
2種類の方式からの誤解
MACアドレスフィルタに、許可型と拒否型の2種類があることを説明した記事は殆どありません。加えて許可型と拒否型ではMACアドレスフィルタの動作は全く異なるのに、WiFiルータの機能名から許可型と拒否型の判別が難しい状況にあります。WiFiルータの製造メーカにも、色々と事情があるとは思いますが、意味なしや悪影響と否定的な意見がでてくる原因は、ここにもあると思います。 この記事では、「キッズタイマー」や「こども安心ネットタイマー」のベースになったMACアドレスフィルタリングの種類について説明し、拒否と許可の2つの管理方法の違いを図解することで、ルーター選定時のお悩み ...
【機能解説】MACアドレスフィルタリングに種類があることを誰でも分かるよう説明してみた
企業で利用される状況
MACアドレスフィルタは、企業内のシャドーIT対策でも利用されているバリバリ現役の機能です。シャドーITは、従業員が企業が許可や把握していない私物パソコンや無許可アプリ、個人利用のクラウドストレージなどを使うことです。シャドーITによるリスクは、情報漏洩、アカウント乗っ取り、社内ネットワークへウイルス侵入などであり、セキュリティ上の大きな脅威になります。
中でも私物パソコンの利用は、情報の持ち出しやトロイの木馬といったウイルス侵入の経路になるため、対策をする必要があります。端末へのEDR導入など、様々な対策がありますが、MACアドレスフィルタを使った方法では、無線WiFiアクセスポイントやルータ/L3SWといったネットワーク機器に、業務で利用するパソコンのMACアドレスを登録します。MACアドレスフィルタに登録されていない端末は、無線WiFiアクセスポイントやルータ/L3SWといった機器から、社内ネットワークに接続できません。
社内ネットワークに接続できないので、従業員は私物パソコンを使うことを諦め、セキュリティの脅威も回避することができるわけです。MACアドレスフィルタは、オワコン機能ではないのです。
まとめ
ここまで、否定的意見の真偽を調べるとともに、MACアドレスフィルタの有用性を説明してきましたがいかがだったでしょうか。皆さんが、MACアドレスフィルタを導入する際の注意点を簡単にまとめておきます。
導入に向けての注意事項
- セキュリティ対策や認証機能として利用しない
- 側面シールの接続ID(SSID)とパスワードを変更する
- スマホのMACアドレスのランダム化はオフにする
- ルータを初期化されないハード対策をする
最後まで読んでいただき、まことにありがとうございました。のんびり理系おじさんは、読者の皆さまのお子様の成長を心よりお祈り申し上げます。どうしようもないとき、このページを参考にインターネット利用制限を行ってください。おじさんは、これからも、皆様の子育てのお役に立てる情報を発信していきます。
