この記事の要点

MAC アドレスフィルタリングは、無線 LAN アクセスポイントなどで「接続を許可する MAC アドレス」をあらかじめ登録し、それ以外の機器を拒否するアクセス制御 許可リスト (ホワイトリスト) 方式が一般的で、登録済み機器だけが接続できる。拒否リスト (ブラックリスト) 方式もある MAC アドレスは容易に詐称 (なりすまし) できるため、単独では強固なセキュリティにはならない 正式な暗号化・認証 (WPA2/WPA3, 802.1X) を主とし、MAC フィルタはあくまで補助的・運用補完の位置づけ 管理対象が増えると登録運用が煩雑になるため、規模に応じて使い分ける

概要

MAC アドレスフィルタリングは、ネットワーク機器 (主に無線 LAN のアクセスポイントや一部のスイッチ) で「接続を許可する機器の MACアドレス をあらかじめ登録しておき、それ以外の機器の接続を拒否する」アクセス制御手法です。各 NIC が持つ MAC アドレスを識別子として使い、家庭やオフィスの無線 LAN で「知らない機器を勝手に繋がせない」ための簡易的な制限としてよく紹介されます。

仕組み

方式は大きく 2 つあります。

• 許可リスト (ホワイトリスト) 方式: 登録された MAC アドレスを持つ機器だけ接続を許可し、未登録はすべて拒否する。最もよく使われる。
• 拒否リスト (ブラックリスト) 方式: 登録された MAC アドレスだけを拒否し、それ以外は許可する。特定機器を締め出す用途。

無線 LAN の場合、機器がアクセスポイントへ接続要求を送ると、AP は要求元のフレームに含まれる送信元 MAC アドレスを参照し、登録リストと照合して接続可否を判定します。判定はあくまで「自己申告された MAC アドレス」に基づくため、ここに後述の限界があります。

実用例

設定はルータ/AP の管理画面で行うのが一般的です。許可したい機器の MAC アドレスは各 OS で次のように確認し、管理画面の許可リストへ登録します。

# 登録したい機器の MAC を調べる
# Linux
ip link show          # link/ether 行が MAC
# Windows
getmac /v
# macOS
ifconfig en0 | grep ether

# Linux でホスト側に簡易的な L2 制限を入れる例 (ebtables)
# 指定 MAC 以外を DROP する許可リスト的設定 (高度・参考)
sudo ebtables -A INPUT -i wlan0 -s 00:11:22:33:44:55 -j ACCEPT
sudo ebtables -A INPUT -i wlan0 -j DROP

# どの MAC が接続しているか (AP/ブリッジ側) を確認
ip neigh show
bridge fdb show

一般家庭ではこれらのコマンドではなく、ルータの Web 管理画面にある「MAC アドレスフィルタリング」「アクセス制限」項目で、許可する機器の MAC を一覧入力する形になります。

主な用途

• 家庭/小規模オフィスの簡易制限: 既知の機器だけを接続させ、近隣からの偶発的接続を減らす。
• 来客機器の締め出し: 業務ネットワークに私物機器を繋がせない運用補助。
• 特定機器のブロック: 問題のある機器を拒否リストで一時的に締め出す。
• 多層防御の一枚: 暗号化・認証と組み合わせ、攻撃のハードルを少し上げる補助層として使う。

他のアクセス制御との比較

方式	強度	詐称耐性	位置づけ
MAC フィルタリング	弱い	低い (MAC は偽装可)	補助的
WPA2/WPA3 (PSK)	中〜強	高い (鍵が必要)	主たる対策
802.1X (RADIUS 認証)	強い	高い (個別認証)	企業向け主対策
SSID ステルス	弱い	低い	補助的

注意点

• MAC は詐称可能: 攻撃者は無線を盗聴して許可済み機器の MAC を観測し、自分の NIC をその MAC に変更 (なりすまし) すれば容易に通過できる。MAC フィルタ単独はセキュリティ対策として頼れない。
• 暗号化の代替にならない: フィルタリングは通信内容を暗号化しない。盗聴対策には WPA2/WPA3 が必須。
• 運用コスト: 機器が増減するたびに登録/削除が必要で、規模が大きいと破綻しやすい。企業では 802.1X を使うべき。
• MAC ランダム化との衝突: 近年のスマホ/PC はプライバシー保護のため接続ごとに MAC をランダム化する。許可リスト方式だと正規端末が弾かれることがある。
• あくまで多層防御の一枚: 「やらないよりまし」程度。主たる防御 (暗号化・認証) を疎かにして MAC フィルタに依存しない。

関連リンク

• MACアドレス
• アドレッシング・識別子
• ARP
• IP

運用上の位置づけと限界

MAC アドレスフィルタリングは「気休め程度のセキュリティ」と評されることが多い対策です。理由は明快で、無線 LAN のフレームは暗号化されていてもヘッダの MAC アドレスは平文で流れるため、攻撃者は airodump-ng などで通信を傍受するだけで許可済みの MAC アドレスを簡単に収集でき、その値を自分の NIC に詐称（spoofing）して認証を突破できるからです。

したがって、MAC フィルタリングは単独の防御策にしてはいけません。必ず WPA3（または WPA2-AES）による暗号化を主たる防御とし、MAC フィルタリングはあくまで「カジュアルな接続を一段階だけ面倒にする補助」と位置づけます。企業ネットワークでは MAC フィルタリングではなく、IEEE 802.1X による認証（証明書やユーザ ID/パスワード）を採用するのが本筋です。

運用負荷の面でも、端末が増減するたびに許可リストを手動更新する必要があり、台数が多い環境では現実的ではありません。BYOD（私物端末の持ち込み）が一般化した現在では、MAC ベースの管理はますます機能しにくくなっています。