AppleのWi-Fi製品について私が執筆を始めたのは2000年まで遡ります。もう随分昔のことのように思えます!しかし15年経った今でも、Apple製品やWi-Fi全般について、今まで知らなかった新しい発見があります。例えば、匿名を希望する読者の方から、Timed Access Controlで発生した問題についてのメールをいただきました。
この機能を使うと、イーサネット、Wi-Fi、その他のネットワークデバイスすべてに搭載されているアダプタ識別子を使って、ベースステーションへのアクセスを制御できます。読者はこの機能を使って、ネットワーク上の67台のデバイスへのアクセスを制御していました。これらのデバイスには既にパスワードが設定されていました。しかし、66台目から67台目に切り替えたところで問題が発生しました。
Apple からいくつかの情報を得て、デバイスによるアクセス制限を議論するための一般的なアプローチの一部として解釈できる新しいことを学びました。
MAC攻撃
すべてのネットワークアダプタには、メディアアクセス制御(MAC)アドレスがあります。MACアドレスは、ネットワークハードウェアが固有のアドレスを焼き込むことで、他のネットワークハードウェアと通信することを可能にします。メーカーは独自のプレフィックスを持ち、デバイス出荷時に埋め込まれる固有のアドレスを割り当てることになっています。このアドレスは再利用されることはありません。MACアドレスは48ビットの数値で、6つの2桁の16進数をコロンで区切って並べたものです(例:D0:03:4B:99:1B:16)。
一部のハードウェアではMACアドレスを「複製」できます。これは、より具体的には、内蔵アドレスを別のアドレスに変更できることを意味します。これは、故障して交換が必要になったデバイスを更新する際に役立つだけでなく、正規のデバイスになりすますといった悪質な目的にも利用できます。この点については後ほど詳しく説明します。
iOS では、MAC アドレスが Wi-Fi アドレスとして「バージョン情報」に表示されます。
MacのMACアドレスは、システム環境設定の「ネットワーク」パネルで確認できます。左側のアダプタをクリックし、「詳細」ボタンをクリックし、「ハードウェア」タブをクリックします。iOSの場合は、「設定」>「一般」>「情報」と進み、下にスワイプして「Wi-Fiアドレス」を表示します。
Appleは数年前から、ベースステーション向けにMACアドレスベースのアクセス制限機能を提供しており、特定の時間帯や曜日など、特定のWi-Fiアダプタのみにアクセスを制限できます。(タイムアクセス制御の使い方については、最新のガイドをご覧ください。)Ethernet接続のパソコンやモバイル端末は影響を受けません。他社製のルーターでは、通常、より詳細なアクセス制御設定が可能で、有線接続と無線接続の両方に対応しています。
TP-Link Archer C7 (ここでは管理インターフェースの抜粋を示しています) には、時間帯や曜日を超えてアクセスを制限するための非常にきめ細かい制御機能があります。
Wi-Fiの黎明期には、MACアドレスを使ってアクセスを制限することが、当時の不安定なパスワードシステムの代替手段になると思われました。つまり、準オープンなネットワークを運用し、一般的なパスワードではなく、入力した情報を持つユーザーのみにアクセスを制限できるのです。しかし、これはうまくいきませんでした。パスワードで保護されたネットワークはデータを暗号化し、スヌーピングを防止します。また、Wi-Fiアダプター上のMACアドレスの複製は容易だったため、ハイジャッカーは正規のMACアドレスを盗聴し、複製してネットワークに侵入することができました。
アクセスを制限する最も賢明な方法は強力なパスワードを使用することですが、保護されたネットワークと一部のユーザーまたはデバイスの MAC アドレス制限を組み合わせることもできます。
ブロックするのは愛する人だけです
筆者は、ネットワークアクセスを阻止する最も強力な手段であるWPA2パーソナルパスフレーズと時間制限付きアクセス制御を使用し、何十台ものローカルデバイスに苦労して入力しました。しかし、問題が発生しました。デバイス番号66以降から、ベースステーションの動作が不安定になり始めたのです。最終的に、MACアドレスの上限は65個(実際にはそれ以上のアドレスも受け付けられる)と記載されている非公式の情報源を見つけました。古くなったエントリを削除したところ、状況は正常に戻りました。
定義したデバイスごとに曜日と時間帯の制限を個別に設定できます。
私は彼に、タイムドアクセスコントロールのエントリをすべて削除することを勧めました。WPA2パーソナルパスフレーズは、フレーズが12文字程度の完全にランダムな文字、またはスペースで区切られた3つ以上のランダムな単語の組み合わせなど、ある程度長い場合、現在解読不可能とみなされているためです。(ダイスウェアと単語ベースのパスフレーズの非直感的な性質に関する私のコラムを参照してください。)
(彼はまた別の興味深い特性を発見し、私は Apple に確認しました。時間指定アクセス制御エントリは、802.11ac AirPort Extreme および Time Capsule モデルのネットワーク全体に伝播します。アクセスリストを変更し(説明だけでなく、アドレスの追加や削除、エントリの変更も)、更新をクリックして再起動によりルーター構成に変更を適用すると、それらのエントリは他のベースステーションに自動的にコピーされます。これは、それが起こる唯一の機能だと Apple は述べています。)
この種のアクセス制御が役立つのは、知っている人(通常は子供)へのアクセスを制限したい場合だけです。ただし、常時インターネット接続のある特定のデバイスへのアクセスも制限するように選択することもできます。
ある友人たちは、早熟な子供が午前2時にWikipediaを読んでいるため、iPod touchを取り上げたくないという問題を抱えていました。また、子供たちにオフラインにするよう注意しなくて済むよう、時間帯に適切な制限を設けたいと考えている人もいます。つまり、パソコンやiOSデバイス(あるいはAndroid、Chromebookなど)がインターネットにアクセスできなくなるのです。さらに、ワイヤレスIPカメラやその他のIoTデバイスが24時間インターネットに接続し続けるのは避けたい場合もあるでしょう。
Appleのベースステーションは、通信時間や時間帯の制御、特定のウェブサイトへのアクセス制限、ブラックリストへの登録といった点では、他の多くのWi-Fiルーターほど強力ではありません。しかし、限られた用途であれば十分に機能します。
ただし、WPA2 パーソナルパスフレーズは、防御の最前線となるはずです。タイムドアクセスコントロールは、信頼できないユーザーを排除するためではなく、既に信頼しているデバイスのアクセスを制限する手段としてのみ利用してください。
