MAC アドレスはなぜ追跡に使われるのか

MAC アドレス (Media Access Control address) は、ネットワークインターフェースに割り当てられた 48 ビットの物理アドレスです。Wi-Fi に接続するたびにデバイスが送信するこの識別子は、IP アドレスとは異なり、デバイスのハードウェアに紐づく半永続的な識別子として機能します。

商業施設、空港、駅などに設置された Wi-Fi アクセスポイントは、接続の有無にかかわらず、周囲のデバイスが発する Wi-Fi プローブリクエストから MAC アドレスを収集できます。この仕組みを利用した位置追跡は、あなたが気づかないうちに行動パターンを記録し続けています。

Wi-Fi プローブリクエストの仕組み

スマートフォンやノート PC は、Wi-Fi が有効な状態で常にプローブリクエストを送信しています。これは「接続可能なアクセスポイントはないか」を探索するブロードキャストフレームで、以下の情報を含みます。

  • 送信元 MAC アドレス
  • 過去に接続したネットワークの SSID (Preferred Network List)
  • デバイスがサポートする通信規格と速度

問題は、このプローブリクエストが暗号化されずに送信される点です。半径数十メートル以内にある任意の受信機がこれを傍受でき、MAC アドレスを記録できます。Wi-Fi に接続していなくても、Wi-Fi 機能がオンになっているだけで追跡の対象になります。

プローブリクエストから分かること

MAC アドレスの収集だけでも、以下の情報を推定できます。

  • 特定のデバイスの滞在時間と訪問頻度 (同じ MAC アドレスの出現パターン)
  • 移動経路 (複数地点のセンサーで同一 MAC アドレスを検出)
  • デバイスの製造元 (MAC アドレスの上位 24 ビットは OUI として IEEE に登録されている)
  • 過去に接続した Wi-Fi ネットワーク名 (SSID の漏洩)

商業施設での MAC アドレス追跡の実態

小売業界では、MAC アドレスを利用した来店分析が広く普及しています。店舗内に設置された Wi-Fi センサーが来店客のスマートフォンから MAC アドレスを収集し、以下のデータを生成します。

  • 来店者数のリアルタイムカウント
  • 店内の動線分析 (どの売り場にどれだけ滞在したか)
  • リピート率の測定 (同じ MAC アドレスの再来店頻度)
  • 近隣の競合店舗との来店者の重複分析

この種の分析は、Euclid Analytics、RetailNext、ShopperTrak などの企業がサービスとして提供しており、大手小売チェーンで広く採用されています。多くの場合、来店客はこのような追跡が行われていることを認識していません。

公共空間での追跡

商業施設に限らず、空港、鉄道駅、イベント会場、さらには街路に設置されたスマートシティのセンサーでも MAC アドレスの収集が行われています。ロンドンの地下鉄では、2016 年から Wi-Fi 追跡による乗客の移動パターン分析が実施されています。

MAC アドレスランダム化 - OS レベルの対策とその限界

Apple (iOS 14 以降)、Google (Android 10 以降)、Microsoft (Windows 10 以降) は、Wi-Fi プローブリクエストで送信する MAC アドレスをランダム化する機能を実装しています。これにより、デバイスの実際の MAC アドレスが直接露出することは減りました。

ランダム化の方式

  • iOS: ネットワークごとに固有のランダム MAC アドレスを生成し、同じネットワークには常に同じランダムアドレスを使用する (per-network randomization)
  • Android: Android 10 以降でデフォルト有効。ネットワークごとのランダム化に加え、Android 12 以降では非接続時のプローブリクエストでもランダム化される
  • Windows: ネットワークごとのランダム MAC アドレスを設定可能 (手動で有効化が必要な場合がある)

ランダム化の限界

MAC アドレスのランダム化は万能ではありません。以下の経路から追跡が成立する可能性があります。

  • 接続後の MAC アドレス固定: 多くの OS は、一度接続したネットワークに対して同じランダム MAC アドレスを使い続ける。そのネットワーク内では依然として追跡可能
  • プローブリクエストの情報エントロピー: MAC アドレス以外の情報 (サポートする通信規格、フレームのシーケンス番号、情報要素の順序) を組み合わせることで、ランダム化された MAC アドレスを持つデバイスを高い精度で再識別できる研究結果がある
  • SSID の漏洩: 一部のデバイスは、過去に接続した SSID をプローブリクエストに含めて送信する。ユニークな SSID (自宅の Wi-Fi 名など) が含まれていれば、MAC アドレスが変わっても個人を特定できる
  • Bluetooth との相関: Bluetooth の MAC アドレスがランダム化されていない場合、Wi-Fi と Bluetooth の同時観測で実デバイスを特定できる

実践的な防御策

基本対策

  • 使用していないときは Wi-Fi と Bluetooth をオフにする。これが最も確実な対策
  • OS の MAC アドレスランダム化が有効になっていることを確認する (iOS: 設定 → Wi-Fi → ネットワーク → プライベート Wi-Fi アドレス、Android: 設定 → ネットワーク → Wi-Fi → ランダム MAC)
  • 不要な Wi-Fi ネットワークの保存済み接続を削除し、SSID の漏洩を防ぐ
  • 公共の Wi-Fi に自動接続する設定を無効にする

高度な対策

  • VPN を使用して、接続先のネットワークから通信内容を保護する
  • ブラウザフィンガープリント対策と組み合わせ、複数のレイヤーで追跡を困難にする
  • Faraday ポーチ (電波遮断ケース) を使用して、物理的に電波の送受信を遮断する
  • プライバシー重視の OS (GrapheneOS など) を使用する。GrapheneOS は接続ごとに MAC アドレスをランダム化する機能を備えている

自分の状態を確認する

IP 確認さんで現在の接続情報を確認し、公共 Wi-Fi のリスクを理解した上で、適切な対策を講じてください。MAC アドレスの追跡は IP アドレスの追跡とは独立した経路であるため、広告トラッキング対策と併せて多層的に防御することが重要です。

法規制の動向

MAC アドレスの収集に対する法規制は、地域によって大きく異なります。

  • EU (GDPR): MAC アドレスは個人データに該当するとの解釈が主流。収集には法的根拠 (同意または正当な利益) が必要
  • 日本 (個人情報保護法): MAC アドレス単体は個人情報に該当しないが、他の情報と容易に照合して個人を特定できる場合は個人情報に該当する可能性がある。2022 年の改正で「個人関連情報」の概念が導入され、Cookie や端末識別子の第三者提供に本人同意が必要になった
  • 米国: 連邦レベルでの包括的な規制はないが、カリフォルニア州の CCPA/CPRA ではデバイス識別子が個人情報に含まれる

規制の有無にかかわらず、自分のデバイスから発信される情報を自分で管理する意識が重要です。

まとめ

MAC アドレスは、IP アドレスとは異なるレイヤーで動作する物理的な識別子です。Wi-Fi が有効な状態でデバイスを持ち歩くだけで、商業施設や公共空間のセンサーに行動パターンを記録される可能性があります。

OS レベルの MAC アドレスランダム化は重要な進歩ですが、完全な防御にはなりません。Wi-Fi と Bluetooth の不要時のオフ、保存済みネットワークの整理、VPN の使用を組み合わせた多層防御が必要です。IP 確認さんでネットワーク情報を確認し、自分のデジタルな足跡がどこまで見えているかを把握することから始めてください。

MAC アドレスとプライバシーの関係を深く知りたい方には、ネットワークセキュリティの入門書が参考になります。

この記事の関連用語

MAC アドレス ネットワークインターフェースに割り当てられた 48 ビットの物理アドレス。デバイスの製造時に設定され、ローカルネットワーク内での通信に使用される。 IP アドレス インターネット上のデバイスを識別するための数値アドレス。IPv4 と IPv6 の 2 種類があり、通信の送受信先を特定するために使用される。 VPN (仮想プライベートネットワーク) インターネット通信を暗号化し、別の場所にあるサーバーを経由させることで、実際の IP アドレスと通信内容を保護する技術。 ブラウザフィンガープリント ブラウザの設定、プラグイン、フォント、画面解像度などの属性情報を組み合わせて、Cookie を使わずにユーザーを一意に識別する技術。 Wi-Fi IEEE 802.11 規格に基づく無線 LAN 技術。電波を使ってデバイスをネットワークに接続し、ケーブルなしでインターネットアクセスを提供する。