無線LANのMACアドレス認証はリスク大【情報処理安全確保支援士試験 令和元年度 秋期 午後2 問2 設問3】

情報処理安全確保支援士試験 令和元年度 秋期 午後2 問2 設問3

問2 工場のセキュリティに関する次の記述を読んで、設問1〜7に答えよ。

(略)

【調査結果

 Cさんは、F氏の支援の下、α工場の課題を調査した。α工場のネットワークの概要を図4に示す。

f:id:aolaniengineer:20200614143626p:plain

 調査によって発見された主要な課題を次に示す。

課題1:FA端末には、パッチの適用もマルウェア対策ソフトの導入もしていない。それにもかかわらず、複数のFA端末がA-NETに接続されている。

課題2:APは、接続を許可する機器をMACアドレス認証によって制限している。パスワードやディジタル証明書を利用した認証は行っていない。APの近くから、攻撃者が(g:電波を傍受)することで(h:MACアドレス)を入手し、この値を使用することで容易にAPに接続できてしまう。

g:電波を傍受h:MACアドレス

AP(無線LANアクセスポイント )での接続機器制限をMACアドレス認証により実施しているとのことですが、これはセキュリティとして全く意味がない対応になります。

なぜなら、MACアドレスは簡単に第三者に知られてしまい、容易に偽装されるものだからです。

無線LANの場合、無線LANヘッダフレームにある送信元・先MACアドレスは暗号化されないため、無線電波を傍受することでMACアドレスを入手することができます。

入手したMACアドレスを端末に設定することで、APに接続することができます。

課題3:工場内で使われる機器は、標準PC及びFA端末も含め、業務用ソフトなどの脆弱性管理が不十分である。公開されている脆弱性情報が確認されておらず、パッチが適用されていない機器が多い。セキュリティ規程に脆弱性管理についての具体的な言及がなく、どこまで管理するかを各部門に任せている。

 CさんとF氏は、システム部及びα工場の関係者に、発見された課題がもたらすリスクを説明し、解決の必要性について理解を得た。その上で、課題の解決に向けて検討を開始した。

【出典:情報処理安全確保支援士試験 令和元年度 秋期 午後2問2】

https://www.jitec.ipa.go.jp/1_04hanni_sukiru/mondai_kaitou_2019h31_2/2019r01a_sc_pm2_qs.pdf