アカウント名:
パスワード:
誤解に基づく書き込みが多い気がするので補足。ランダムMACアドレスはスキャン時のみで、接続に行くときは固定MACアドレスです。つまり、ルータ等に設定するMACアドレスフィルタリングに大きな影響はないと思います。
http://iphone-mania.jp/news-33623/ [iphone-mania.jp]
実際にWiFiネットワークを提供しさえすれば、MACアドレスを収集できるってことですね(必要な情報なので当然ですが)。結局、カジュアルなデータ収集の抑制になる程度でしょうか。もちろん意味はあることですが。
リンク先記事を読む限り、Nomi社はiBeacon技術を導入したら顧客追跡が大幅に簡素化されたので、余剰した人員を整理できたヤッタネ。という話のようですが……。タレコミのように、iOS 8で経営が立ち行かなくなるヤバイ、とは読めませんでした。まあ、ポジティブストーリーだとするならなぜ余剰した人員で事業拡大しないのかが気になる所なので、そう素直な話では無いのでしょうが。痛し痒しなのかな?
そうですよね、今まではMACアドレスで追跡していたのがiBeaconというAppleがちゃんと用意したものを使うことによって
Ferrentino氏は、「今はiBeaconを利用することで、これまでのMACアドレスを利用した場合に発生するプライバシーに関する問題が、すべてユーザー側で管理が可能となり、アップルのiBeaconを利用したサービスの導入に非常に魅力を感じている」と語っています。
となった、と。
強いて言えばこっそり追跡ができていたのができなくなった(けどiBeaconがあるので追跡行為は今まで通りできる、ただしiBeaconを無効にしている場合はその限りではない)。プライバシーを気にするユーザーはiBeaconを無効にすればいいし有効にしているユーザーからは今まで通りもしくは今まで以上に追跡が可能でNomi社にとっても願ったりかなったりとwin-winってやつです。
それは代替になるのか?MACアドレスを使う方法ならWifiを搭載した携帯端末全般を対象に出来たけど、iBeaconだとiOS7搭載のiPhoneのユーザーしか追跡対象にならないよね。サンプル数がぐっと減ると思うんだけど。
> サンプル数がぐっと減るああ、なるほど、Androidも扱っていたのをiBeacon=iOS端末オンリーに舵をきったと考えるとその通りですね。解雇された1/3の人員はAndroid分担当のスタッフだとすれば辻褄は合いますね。で、元記事はiBeaconの提灯か何かなので、Androidまわりの話はカットしたとも考えられるけれど、それは流石に邪推か。
Nomiは7月初旬には多くの営業スタッフを含め、従業員を解雇しました。これまでのWi-Fiネットワークを利用したシステムの残務処理があり多忙でしたが、ビーコン端末の導入は非常に負担が少なく業務が非常に簡素化したようです。
お金を落としてくれるiOSユーザーだけ捕捉できればいいんでしょう。可処分所得の少ないandroidユーザーの追跡は要らないと。
iOS7ならiPhone4以降が対象なので今稼動している端末はほとんど対象になります。ぐっと減ることはありません。
高木浩光@自宅の日記 2011年11月26日■ Wi-FiのMACアドレスはもはや住所と考えるしかない [takagi-hiromitsu.jp]
そういうのを潰す為の対策でしょうに何を言っているのか。
盗人猛々しいとはこのこと
全車グリーン車なのにグリーン券持たずに乗る客みたいなもんだな
キロに立たされろと
気動車だなんて聞いてないんですが
まさに蚤だね
蚤が蚕になった、と。
MACアドレスにIP払い出しをしてる場合はどうなるでしょ。
MACアドレス登録制でDHCP利用してるオフィスでの管理も全滅っすね。関係会社のビルでそういうところあるけど、mac使ってる人たちどうすんだろ。
"データは店舗に設置したビデオカメラを使って集めていたほか"って無断で録画して無断で顔認証で個人識別もしてるってこと??
顔もランダムにしないと!
何か問題でも?
「MACアドレスの原則」には「アドレス利用者の行動を追跡した情報を売る」なんてもの想定されていないでしょ、それを指して穴と呼んでいるのでしょう。
「MACアドレスの原則」には「アドレス利用者の行動を追跡する」ことは想定されてるかと。
当然そこから予見される事象も含まれますよ。
ルーターのMACアドレスフィルタリングで指定許可してたらつながらなくなってことなのかな?
そうなるとフル解放じゃないとつながらないって結構な問題なような
それともランダム化しないアクセスポイントを登録できたりするのかな?
私の知ってるAppleならランダム化しないアクセスポイントをユーザーに指定させるような方針はしなさそうだけれど。。。
MACアドレスによるフィルタリングとか普通にやってるとこ多い気がしますが。
良い機会なのでやめさせましょう。
MACアドレスは、ランダムに変えられるぐらいに信用できないので、そのフィルタリングのセキュリティ向上への寄与は極小です。
MACアドレスフィルタリングによる効果が、社内セキュリティの向上に役立っているのでしたら、それは、社内のWiFiセキュリティが全くザルだという事を意味します。即刻、まともなポリシーへと転換すべき事態です。
暗号化などまともなポリシーで運用しているのでしたら、MACアドレスフィルタリングには、追加の向上効果はほぼありませんので棄てましょう。
カジュアルな不正には有効っす。抜け道がある=効果がないとかバカの戯れ言っす。そんな論理でOKならヘルメットなんかいらないし、玄関の錠も必要ないことになるっす。ほんとバカの戯れ言っす。
だけどね、実際には、このMACアドレスセキュリティ破りができる人間の数は極めて少ないわけですよ。言ってみれば、鍵のないドアにチョウチョ結びしてあるのを見るだけで諦める人がほとんどなんです。彼らにとってはチョウチョ結びは難しすぎるんです。
もちろん、知識があり目的を持ってそのWi-Fi所有してる組織に近づく人には無力ですわ。絶対的な効果はないけど、素人クラッカーに対しては効果はあるよ。
MACアドレスが漏れなければ固定長パスワードと同じレベルのセキュリティーがあると思いますが違いますか?
MACアドレスは漏れるもの、という前提で設計されています。通信時の全てのパケットに、MACアドレスは平文のまま乗っています。
主な理由はアクセスポイントの処理負荷の低減のためです。パケットを受信したAPが、自身が処理すべきパケットかどうかを素早く確認できるようにするため、パケットには暗号化されない部分が設けられており、MACアドレスはそこに入っています。全体を暗号化すると、APは受信できたあらゆるパケットを復号して中身を確かめなければなくなります。
いくらなんでもだだ漏れは酷い、ちょっとぐらいなんとかしろよ、という気もしますが、仕様は、中途半端なガードは最悪の攻撃者に対して無意味=全くの無駄、という思想で作られています。仕様の別の部分で、最悪の攻撃者に対する十分なガードというハイレベルな戦いが可能なので、中途半端な仕組みには出る幕はないという考え方です。何しろ、仕様は、世界中のあらゆる無線LAN機器上に乗っていなければならない機能を策定するものなので、ちょっとでも不要な機能があれば、計り知れない無駄が出てしまいますから。
それが何かも分からないまま、謎の信頼を寄せるのはやめましょう。
WiFiのMacアドレスは暗号化されません。今回話題になっているように、今まではアクセスポイントを探すだけでばら撒きます。そんなものをパスワードと同じレベルと思うなんて誕生日パスワードを笑えませんよ
だからMACアドレスをばら撒かないiOS8ならOKってことですよね。
だから暗号化されないって言ってるじゃないですか。つまり通信している電波を受信できる場所であればMacアドレスは駄々漏れなんですよ。
> MACアドレスが漏れなければ
そういう非現実的な仮定をおけばなんでも言える
iOS8なら現実的ですよね。接続後にルータがクラックされたらダメですがその時点でMACアドレス漏洩以上の事故ですし。
では代替案を提示して頂きたい。要件は・クライアント側に追加コストがかからない事。・AP側の追加コストはMACアドレスのフィルタリングがある一般的な機器を買う程度である事。・一度パスワードを知れば微小な手間すら無しに無制限にデバイスを増やせる事を防ぐ程度のセキュリティでよい事。です。
セキュリティは玉葱の皮。
MACアドレス「だけ」で認証するわけじゃないんだよ。対象のMACアドレス、OSバージョン、ウィルスチェッカー、それにユーザの証明書、こういうものを全部使って認証する。
そこまでやってるなら、それこそMACアドレスは無くても変わらないんじゃね?と思わなくもない
何のためにですか?
タイトル読め
社内WiFiのアクセス制限でMACアドレスによるフィルタリングを使用している理由が知りたいのですが・・・
未登録の個人端末の持ち込みやLANへの接続を禁止するセキュリティポリシーなんて、一般的ですよ。登録端末のMACアドレス以外に対する通信を全部監視対象にして、場合によっては、Arp応答の偽装で通信そのものを禁止してしまうなんてことをやっているところもある。
固定LAN用だけど、 ip-sentinelとかよく仕込んだなあ。Arp応答の偽装で登録済みのMACアドレスとIPアドレス組の端末以外事実上通信できなくできるしね。
そりゃ、802.1xついた無線LAN APとか買えない(もしくは存在さえ知らない)からPSKをやめればいいだけじゃんか。
うちのBYOD もmacアドレス登録が必須だからオワタ…
利用者が使ってそうなWIFIサービスのSSIDを大量にバラ撒けば、接続できるSSIDだと勘違いした端末が本物のMACアドレスを通知してきます。
それを狙って、非常に大量のSSIDを自動プロビするシステム、それを効率よくまき散らすAPなんてのの話を小耳にはさんでこれでWIFIインフラは完全に終わったなとしか感じられませんでした。
今までは「そこまでしなくてもよかったからそこまでの迷惑行為はしていなかった」のがこれからは「そこまでするからこそ少数精鋭になってカネが取れる、どんどんやろう」になってしまいましたね。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
あと、僕は馬鹿なことをするのは嫌いですよ (わざとやるとき以外は)。-- Larry Wall
ランダムMACアドレスはスキャン時のみで、接続に行くときは固定MACアドレスです (スコア:5, 参考になる)
誤解に基づく書き込みが多い気がするので補足。
ランダムMACアドレスはスキャン時のみで、接続に行くときは固定MACアドレスです。
つまり、ルータ等に設定するMACアドレスフィルタリングに大きな影響はないと思います。
http://iphone-mania.jp/news-33623/ [iphone-mania.jp]
Re: (スコア:0)
実際にWiFiネットワークを提供しさえすれば、MACアドレスを収集できるってことですね(必要な情報なので当然ですが)。
結局、カジュアルなデータ収集の抑制になる程度でしょうか。もちろん意味はあることですが。
私がニュアンスを読み間違ってる? (スコア:4, 興味深い)
リンク先記事を読む限り、
Nomi社はiBeacon技術を導入したら顧客追跡が大幅に簡素化されたので、余剰した人員を整理できたヤッタネ。という話のようですが……。
タレコミのように、iOS 8で経営が立ち行かなくなるヤバイ、とは読めませんでした。
まあ、ポジティブストーリーだとするならなぜ余剰した人員で事業拡大しないのかが気になる所なので、そう素直な話では無いのでしょうが。
痛し痒しなのかな?
Re:私がニュアンスを読み間違ってる? (スコア:3, 興味深い)
そうですよね、今まではMACアドレスで追跡していたのがiBeaconというAppleがちゃんと用意したものを使うことによって
となった、と。
強いて言えばこっそり追跡ができていたのができなくなった(けどiBeaconがあるので追跡行為は今まで通りできる、ただしiBeaconを無効にしている場合はその限りではない)。
プライバシーを気にするユーザーはiBeaconを無効にすればいいし有効にしているユーザーからは今まで通りもしくは今まで以上に追跡が可能でNomi社にとっても願ったりかなったりとwin-winってやつです。
Re: (スコア:0)
それは代替になるのか?
MACアドレスを使う方法ならWifiを搭載した携帯端末全般を対象に出来たけど、iBeaconだとiOS7搭載のiPhoneのユーザーしか
追跡対象にならないよね。
サンプル数がぐっと減ると思うんだけど。
Re:私がニュアンスを読み間違ってる? (スコア:1)
> サンプル数がぐっと減る
ああ、なるほど、Androidも扱っていたのをiBeacon=iOS端末オンリーに舵をきったと考えるとその通りですね。
解雇された1/3の人員はAndroid分担当のスタッフだとすれば辻褄は合いますね。
で、元記事はiBeaconの提灯か何かなので、Androidまわりの話はカットしたとも考えられるけれど、それは流石に邪推か。
Re: (スコア:0)
サンプル数よりも (スコア:0)
お金を落としてくれるiOSユーザーだけ捕捉できればいいんでしょう。
可処分所得の少ないandroidユーザーの追跡は要らないと。
Re: (スコア:0)
iOS7ならiPhone4以降が対象なので今稼動している端末はほとんど対象になります。ぐっと減ることはありません。
参考記事(高木先生のブログ) (スコア:4, 参考になる)
高木浩光@自宅の日記 2011年11月26日
■ Wi-FiのMACアドレスはもはや住所と考えるしかない [takagi-hiromitsu.jp]
まさに (スコア:2, すばらしい洞察)
そういうのを潰す為の対策でしょうに何を言っているのか。
Re: (スコア:0)
盗人猛々しいとはこのこと
Re:まさに (スコア:1)
全車グリーン車なのにグリーン券持たずに乗る客みたいなもんだな
キロに立たされろと
Re:まさに (スコア:1)
気動車だなんて聞いてないんですが
Re: (スコア:0)
まさに蚤だね
Re: (スコア:0)
蚤が蚕になった、と。
IP払い出し (スコア:1)
MACアドレスにIP払い出しをしてる場合はどうなるでしょ。
Re:IP払い出し (スコア:1)
MACアドレス登録制でDHCP利用してるオフィスでの管理も全滅っすね。
関係会社のビルでそういうところあるけど、mac使ってる人たちどうすんだろ。
無断で顔認証も? (スコア:1)
"データは店舗に設置したビデオカメラを使って集めていたほか"
って無断で録画して無断で顔認証で個人識別もしてるってこと??
Re:無断で顔認証も? (スコア:1)
顔もランダムにしないと!
Re: (スコア:0)
何か問題でも?
Re: (スコア:0)
ごめん、意味がわからん (スコア:0)
まさか、MACアドレスの原則そのものを指してる?
Re:ごめん、意味がわからん (スコア:1, 興味深い)
「MACアドレスの原則」には「アドレス利用者の行動を追跡した情報を売る」なんてもの想定されていないでしょ、
それを指して穴と呼んでいるのでしょう。
Re: (スコア:0)
「MACアドレスの原則」には「アドレス利用者の行動を追跡する」ことは想定されてるかと。
当然そこから予見される事象も含まれますよ。
自宅も? (スコア:0)
ルーターのMACアドレスフィルタリングで
指定許可してたらつながらなくなってことなのかな?
そうなるとフル解放じゃないとつながらないって
結構な問題なような
それともランダム化しないアクセスポイントを
登録できたりするのかな?
私の知ってるAppleなら
ランダム化しないアクセスポイントを
ユーザーに指定させるような方針はしなさそうだけれど。。。
社内WiFiのアクセス制限はどうすればいいのでしょうか (スコア:0)
MACアドレスによるフィルタリングとか普通にやってるとこ多い気がしますが。
Re:社内WiFiのアクセス制限はどうすればいいのでしょうか (スコア:5, すばらしい洞察)
良い機会なのでやめさせましょう。
MACアドレスは、ランダムに変えられるぐらいに信用できないので、そのフィルタリングのセキュリティ向上への寄与は極小です。
MACアドレスフィルタリングによる効果が、社内セキュリティの向上に役立っているのでしたら、
それは、社内のWiFiセキュリティが全くザルだという事を意味します。
即刻、まともなポリシーへと転換すべき事態です。
暗号化などまともなポリシーで運用しているのでしたら、MACアドレスフィルタリングには、追加の向上効果はほぼありませんので棄てましょう。
Re:社内WiFiのアクセス制限はどうすればいいのでしょうか (スコア:1, 参考になる)
カジュアルな不正には有効っす。
抜け道がある=効果がないとかバカの戯れ言っす。
そんな論理でOKならヘルメットなんかいらないし、玄関の錠も必要ないことになるっす。
ほんとバカの戯れ言っす。
Re:社内WiFiのアクセス制限はどうすればいいのでしょうか (スコア:1, すばらしい洞察)
だけどね、実際には、このMACアドレスセキュリティ破りができる人間の数は極めて少ないわけですよ。
言ってみれば、鍵のないドアにチョウチョ結びしてあるのを見るだけで諦める人がほとんどなんです。
彼らにとってはチョウチョ結びは難しすぎるんです。
もちろん、知識があり目的を持ってそのWi-Fi所有してる組織に近づく人には無力ですわ。
絶対的な効果はないけど、素人クラッカーに対しては効果はあるよ。
Re: (スコア:0)
MACアドレスが漏れなければ固定長パスワードと同じレベルのセキュリティーがあると思いますが違いますか?
Re:社内WiFiのアクセス制限はどうすればいいのでしょうか (スコア:5, すばらしい洞察)
MACアドレスは漏れるもの、という前提で設計されています。
通信時の全てのパケットに、MACアドレスは平文のまま乗っています。
主な理由はアクセスポイントの処理負荷の低減のためです。
パケットを受信したAPが、自身が処理すべきパケットかどうかを素早く確認できるようにするため、
パケットには暗号化されない部分が設けられており、MACアドレスはそこに入っています。
全体を暗号化すると、APは受信できたあらゆるパケットを復号して中身を確かめなければなくなります。
いくらなんでもだだ漏れは酷い、ちょっとぐらいなんとかしろよ、という気もしますが、
仕様は、中途半端なガードは最悪の攻撃者に対して無意味=全くの無駄、という思想で作られています。
仕様の別の部分で、最悪の攻撃者に対する十分なガードというハイレベルな戦いが可能なので、
中途半端な仕組みには出る幕はないという考え方です。
何しろ、仕様は、世界中のあらゆる無線LAN機器上に乗っていなければならない機能を策定するものなので、
ちょっとでも不要な機能があれば、計り知れない無駄が出てしまいますから。
それが何かも分からないまま、謎の信頼を寄せるのはやめましょう。
Re:社内WiFiのアクセス制限はどうすればいいのでしょうか (スコア:1)
WiFiのMacアドレスは暗号化されません。
今回話題になっているように、今まではアクセスポイントを探すだけでばら撒きます。
そんなものをパスワードと同じレベルと思うなんて誕生日パスワードを笑えませんよ
Re: (スコア:0)
だからMACアドレスをばら撒かないiOS8ならOKってことですよね。
Re: (スコア:0)
だから暗号化されないって言ってるじゃないですか。
つまり通信している電波を受信できる場所であればMacアドレスは駄々漏れなんですよ。
Re: (スコア:0)
> MACアドレスが漏れなければ
そういう非現実的な仮定をおけばなんでも言える
Re: (スコア:0)
iOS8なら現実的ですよね。
接続後にルータがクラックされたらダメですがその時点でMACアドレス漏洩以上の事故ですし。
Re: (スコア:0)
では代替案を提示して頂きたい。
要件は
・クライアント側に追加コストがかからない事。
・AP側の追加コストはMACアドレスのフィルタリングがある一般的な機器を買う程度である事。
・一度パスワードを知れば微小な手間すら無しに無制限にデバイスを増やせる事を防ぐ程度のセキュリティでよい事。
です。
Re: (スコア:0)
セキュリティは玉葱の皮。
Re: (スコア:0)
MACアドレス「だけ」で認証するわけじゃないんだよ。
対象のMACアドレス、OSバージョン、ウィルスチェッカー、それにユーザの証明書、
こういうものを全部使って認証する。
Re: (スコア:0)
そこまでやってるなら、それこそMACアドレスは無くても変わらないんじゃね?と思わなくもない
Re: (スコア:0)
何のためにですか?
Re: (スコア:0)
タイトル読め
Re: (スコア:0)
社内WiFiのアクセス制限でMACアドレスによるフィルタリングを使用している理由が知りたいのですが・・・
Re: (スコア:0)
未登録の個人端末の持ち込みやLANへの接続を禁止するセキュリティポリシーなんて、一般的ですよ。登録端末のMACアドレス以外に対する通信を全部監視対象にして、場合によっては、Arp応答の偽装で通信そのものを禁止してしまうなんてことをやっているところもある。
Re: (スコア:0)
固定LAN用だけど、 ip-sentinelとかよく仕込んだなあ。Arp応答の偽装で登録済みのMACアドレスとIPアドレス組の端末以外事実上通信できなくできるしね。
Re: (スコア:0)
そりゃ、802.1xついた無線LAN APとか買えない(もしくは存在さえ知らない)から
PSKをやめればいいだけじゃんか。
Re: (スコア:0)
うちのBYOD もmacアドレス登録が必須だからオワタ…
Re: (スコア:0)
逆効果 (スコア:0)
利用者が使ってそうなWIFIサービスのSSIDを大量にバラ撒けば、
接続できるSSIDだと勘違いした端末が本物のMACアドレスを通知してきます。
それを狙って、
非常に大量のSSIDを自動プロビするシステム、それを効率よくまき散らすAPなんてのの話を小耳にはさんで
これでWIFIインフラは完全に終わったなとしか感じられませんでした。
今までは「そこまでしなくてもよかったからそこまでの迷惑行為はしていなかった」のが
これからは「そこまでするからこそ少数精鋭になってカネが取れる、どんどんやろう」になってしまいましたね。