セッションハイジャックとは?対策などをわかりやすく解説

2023.12.01

セッションハイジャックとは、通信当事者以外が、通信中のセッションを乗っ取る攻撃手法である。




セッションハイジャックの概要

セッションとは、通信当事者間でやり取りされる情報を一時的に保持する仕組みである。Webサイトでは、ユーザーがログインした際に、セッションIDと呼ばれる一意の識別子が生成され、ユーザーのブラウザにCookieとして保存される。このセッションIDを元に、Webサーバーはユーザーを識別し、ログイン状態を保持する。

セッションハイジャックでは、攻撃者が何らかの方法でセッションIDを窃取し、セッションを乗っ取る。セッションを乗っ取った攻撃者は、あたかも正規のユーザーであるかのように、Webサイトの機能を利用することができる。

セッションハイジャックの手法

セッションハイジャックには、以下の手法が一般的に用いられる。

フィッシング攻撃

攻撃者は、偽のWebサイトやメールに、ログインページの偽装や、ログイン後の画面の偽装などを施し、ユーザーにIDやパスワードなどの情報を入力させる。ユーザーが偽のWebサイトやメールにIDやパスワードなどの情報を入力すると、攻撃者は、その情報を取得することができる。

クロスサイトスクリプティング(XSS)攻撃

クロスサイトスクリプティング(XSS)攻撃は、Webサイトの脆弱性を悪用して、攻撃者の意図したコードをWebサイトに埋め込む攻撃である。攻撃者は、埋め込んだコードを用いて、ユーザーのブラウザにセッションIDを送信させ、セッションIDを窃取する。

セッションIDの推測

攻撃者は、セッションIDが数値や英数字の組み合わせであることを利用して、ランダムにセッションIDを生成して、ログイン状態を保持しているWebサーバーにアクセスする。セッションIDが一致した場合、攻撃者はセッションを乗っ取ることができる。

セッション固定化攻撃

セッション固定化攻撃は、攻撃者が用意したセッションIDを利用者に強制させることで、セッションを乗っ取る攻撃である。攻撃者は、脆弱性のあるWebサイトのフォームやURLに、セッションIDを埋め込むことで、セッション固定化攻撃を実行する。

セッションハイジャックの被害

アカウント情報や個人情報の盗み取り

攻撃者は、セッションハイジャックを利用して、ユーザーのアカウント情報や個人情報を盗み取ることができる。盗み取られたアカウント情報や個人情報は、不正ログインや不正利用に利用される可能性がある。

不正な取引の実行

攻撃者は、セッションハイジャックを利用して、ユーザーになりすまして、不正な取引を実行することができる。不正な取引には、商品の購入やサービスの利用、送金などが挙げられる。

サイトの乗っ取り

攻撃者は、セッションハイジャックを利用して、Webサイトを乗っ取ることができる。サイトを乗っ取られると、サイトのコンテンツや機能が改ざんされたり、不正な広告やマルウェアが配信されたりする可能性がある。

セッションハイジャックの対策

セッションハイジャックを防ぐためには、以下の対策を行うことが重要である。

セッションIDの管理

セッションIDをURLに含めない、推測が困難なセッションIDにする、ワンタイムセッションIDを発行するなどの対策を行うことで、攻撃者がセッションIDを取得しにくくすることができる。

具体的な対策方法としては、以下のようなものが挙げられる。

セッションIDをURLに含めない

セッションIDをURLに含めると、攻撃者は、WebサイトのURLを解析することで、セッションIDを取得することができる。そのため、セッションIDをURLに含めないようにする。

推測が困難なセッションIDにする

数字の連番や日付などをセッションIDに使うと、簡単に解読されセッションハイジャックされる可能性がある。そのため、ユーザーIDや日付などと擬似乱数を組み合わせた、推測が困難なセッションIDを生成する。

ワンタイムセッションIDを発行する

ワンタイムセッションIDとは、ログイン時に発行されたセッションIDを、一定時間ごとに新しいセッションIDに置き換える方法である。これにより、攻撃者がセッションIDを取得しても、すぐに無効化されるため、セッションハイジャックを防ぐことができる。

ユーザーの注意喚起

攻撃者は、偽のWebサイトやメールに不正なリンクを仕掛けて、ユーザーを誘導することがある。そのため、ユーザーは、信頼できないWebサイトからのリンクはクリックしないよう注意する必要がある。

セキュリティソフトを導入する

セキュリティソフトには、セッションハイジャック攻撃を検知してブロックする機能が備わっている。セキュリティソフトを導入することで、セッションハイジャック攻撃の被害を軽減することができる。

まとめ

セッションハイジャックは、Webサイトを利用する上で注意すべき攻撃手法である。

セッションハイジャックは、Webサイトの脆弱性を利用して行われるため、Webサイトの開発者や運用者は、脆弱性を解消するための対策を講じることが重要である。また、ユーザーも、上記のような対策を行うことで、セッションハイジャックから身を守ることができる。

セッションハイジャックを学ぶのにおすすめの書籍

基本がわかる安全設計のWebシステム(日経BP Next ICT選書)[ 倉持 浩明 ]
タイトルとURLをコピーしました