お問い合わせ

セッションハイジャックとは?起きてしまう
原因と対策方法について解説

 2020.05.12  EGセキュアソリューションズ

セキュリティ対策強化のために新しいシステムを導入することも大切ですが、まずサイバー攻撃の種類や手口について理解することが必要です。一言でセキュリティ対策と言っても多種多様なものが存在しますので、目的に応じて適切なソリューションを選択することが重要となります。本稿では、「セッションハイジャック」というサイバー攻撃について解説します。Webサイトを狙ったこの攻撃にはどのような特徴があるのか?また、どのような対策が必要なのか?ぜひ参考にしてください。

セッションハイジャックとは?

サイバー犯罪者の多くはさまざまな手口によって情報の窃取を企んでいます。セッションハイジャックはそうしたサイバー攻撃の一種で、コンピュータ間の通信におけるセッションを第三者が乗っ取る攻撃手法です。HTTPにおけるセッションハイジャックは、文字通りWebサイトのユーザーセッションを乗っ取る攻撃となります。昨今、ECサイト等の利用でユーザーがIDやパスワードを入力してログインするWebサイトは当たり前になっており、ユーザーのログイン状態や行動を管理するためにセッションIDが活用されています。これは、WebサーバーやWebアプリケーションがサイトにアクセスしたユーザーおよびその状態を識別するための情報です。セッションIDはURLに保持されることもありますが、Cookieを用いてやりとりされることが一般的になっています。

こうして保持されるセッションIDが第三者の手に渡ったとしたらどうなるでしょうか?当然ながら、第三者はそのユーザーに成りすましてWebサイトにアクセスし、悪用するという行動をとるでしょう。攻撃者としては、ユーザーのクレジットカード情報や個人情報を窃取することも簡単であり、注意が必要です。

なぜセッションハイジャックが起きてしまうのか?

セッションハイジャックにより直接的な被害を受けるのはユーザーです。そのため、Webサイトの運営者は徹底したセキュリティ対策に努める必要があります。適切な対策が行われていないとセッションハイジャックが起こる可能性があるのです。では、その原因は何なのでしょうか?

原因1. 推測されやすいセッションIDを設定している

どのようにセッションIDを付与するかはWebサイト側の仕様により決定するものです。その際に、数値の連番や日付などの推測されやすいセッションIDを設定していると、セッションIDを簡単に推測されてしまい、Webサイトにとって大きな脆弱性になります。

セッションハイジャック

原因2. ウェブアプリケーションの脆弱性による漏えい

なんらかの脆弱性を悪用した不正アクセスにより、セッションIDを窃取されることがあります。代表的な攻撃として、クロスサイトスクリプティング(XSS)というサイバー攻撃によりセッションIDが漏えいすることがあります。

セッションハイジャック(XSS)

関連記事:WAFによるクロスサイトスクリプティング(XSS)対策

原因3. セッションIDの固定化(セッションフィクセーション)

さらに狡猾な手口としてセッションID固定化(セッションフィクセーション)があります。攻撃者は通常ユーザーとして有効なセッションIDを取得します。次に、罠を仕掛けるなど、標的となるユーザーに対して取得済みのセッションIDを強制し、ユーザーがWebサイトにログインするように仕向けます。結果、攻撃者が事前に取得していたセッションIDにより、なりすましに悪用されてしまいます。

セッションハイジャック(セッション固定化)

セッションハイジャックを防御するための対策は?

セッションハイジャックを防御するための基本的な対策は、「攻撃者にセッションIDを推測させない、漏えいさせない」ことです。

対策1. URLにセッションIDを含めない

WebサイトとユーザーがセッションIDをやりとりする際、セッションIDがURLに保持されている場合があります。RefererヘッダからセッションIDが漏えいする可能性があるなど、ユーザーのセッションIDが様々な箇所から流出、推測されやすくなるため、CookieによるセッションIDの管理に変更することが適切です。

対策2. セッション管理機構を利用する

自作のセッション管理機構の不備により、セッションIDが推測可能な状態になってしまうことを回避するため、Webアプリケーション開発ツールやフレームワークに実装されているセッション管理機構を利用するようにしましょう。

対策3. セッションIDの変更

ログイン後に既存のセッションIDを破棄し、新たにセッションIDを発行するようにしましょう。これにより、ログイン後のセッションIDが攻撃者に分からなくなり、セッションフィクセーションの対策となります。

WAFによるセッションハイジャック対策

Webサイトを狙ったサイバー攻撃に特化したセキュリティ対策製品にWAF(Web Application Firewall)があります。WAFを活用することで、クロスサイトスクリプティング(XSS)を悪用したセッションIDの漏えいを防ぐことができるほか、SQLインジェクションOSコマンドインジェクションディレクトリトラバーサルといった様々な攻撃からWebサイトを保護することができます。前述したセッションハイジャックの対策と組み合わせることで、Webサイトのセキュリティレベルを向上させることができます。

WAF(Web Application Firewall)

ワンランク上のウェブサイトのセキュリティ対策に、ぜひWAFの導入を検討してみてください。
CTA
ファイアウォールとは?役割や種類、導入のメリットを解説
WAFって何?導入のメリットとは
RECENT POST「Webセキュリティ」の最新記事
Webセキュリティ

2020.03.02

WAFとセキュリティプラグインでWordPressの安全性を高めよう
Webセキュリティ

2020.04.28

ファイアウォールとは?役割や種類、導入のメリットを解説
Webセキュリティ

2020.08.24

企業のWebアプリケーション担当者必見!セキュリティ対策5選
Webセキュリティ

2020.09.18

企業のホームページ担当者必見!セキュリティ対策の具体例紹介
セッションハイジャックとは?起きてしまう原因と対策方法について解説
CTA
RANKING人気資料ランキング
RECENT POST 最新記事
改ざん検知とは?仕組みや注意点、改ざんの被害事例を解説

改ざん検知とは?仕組みや注意点、改ざんの被害事例を解説
Webサイトの脆弱性とは?サイバー攻撃を防ぐ対策をご紹介

Webサイトの脆弱性とは?サイバー攻撃を防ぐ対策をご紹介
slowloris攻撃とは ウェブサーバーの脆弱性対策に有効な実践的対策

slowloris攻撃とは ウェブサーバーの脆弱性対策に有効な実践的対策
アプリケーションのセキュリティリスクとは?被害を未然に防ぐ対策方法

アプリケーションのセキュリティリスクとは?被害を未然に防ぐ対策方法
セキュリティ上の脅威とその対策について一覧でご紹介

セキュリティ上の脅威とその対策について一覧でご紹介
CTA
RANKING人気記事ランキング
TOPIC トピック一覧
SEARCHブログ内検索