セッションハイジャックとは？起きてしまう
原因と対策方法について解説

2020.05.12 EGセキュアソリューションズ

セキュリティ対策強化のために新しいシステムを導入することも大切ですが、まずサイバー攻撃の種類や手口について理解することが必要です。一言でセキュリティ対策と言っても多種多様なものが存在しますので、目的に応じて適切なソリューションを選択することが重要となります。本稿では、「セッションハイジャック」というサイバー攻撃について解説します。Webサイトを狙ったこの攻撃にはどのような特徴があるのか？また、どのような対策が必要なのか？ぜひ参考にしてください。

セッションハイジャックとは？

サイバー犯罪者の多くはさまざまな手口によって情報の窃取を企んでいます。セッションハイジャックはそうしたサイバー攻撃の一種で、コンピュータ間の通信におけるセッションを第三者が乗っ取る攻撃手法です。HTTPにおけるセッションハイジャックは、文字通りWebサイトのユーザーセッションを乗っ取る攻撃となります。昨今、ECサイト等の利用でユーザーがIDやパスワードを入力してログインするWebサイトは当たり前になっており、ユーザーのログイン状態や行動を管理するためにセッションIDが活用されています。これは、WebサーバーやWebアプリケーションがサイトにアクセスしたユーザーおよびその状態を識別するための情報です。セッションIDはURLに保持されることもありますが、Cookieを用いてやりとりされることが一般的になっています。

こうして保持されるセッションIDが第三者の手に渡ったとしたらどうなるでしょうか？当然ながら、第三者はそのユーザーに成りすましてWebサイトにアクセスし、悪用するという行動をとるでしょう。攻撃者としては、ユーザーのクレジットカード情報や個人情報を窃取することも簡単であり、注意が必要です。

なぜセッションハイジャックが起きてしまうのか？

セッションハイジャックにより直接的な被害を受けるのはユーザーです。そのため、Webサイトの運営者は徹底したセキュリティ対策に努める必要があります。適切な対策が行われていないとセッションハイジャックが起こる可能性があるのです。では、その原因は何なのでしょうか？

原因1. 推測されやすいセッションIDを設定している

どのようにセッションIDを付与するかはWebサイト側の仕様により決定するものです。その際に、数値の連番や日付などの推測されやすいセッションIDを設定していると、セッションIDを簡単に推測されてしまい、Webサイトにとって大きな脆弱性になります。

セッションハイジャック

原因2. ウェブアプリケーションの脆弱性による漏えい

なんらかの脆弱性を悪用した不正アクセスにより、セッションIDを窃取されることがあります。代表的な攻撃として、クロスサイトスクリプティング（XSS）というサイバー攻撃によりセッションIDが漏えいすることがあります。

セッションハイジャック（XSS）

関連記事：WAFによるクロスサイトスクリプティング（XSS）対策

原因3. セッションIDの固定化（セッションフィクセーション）

さらに狡猾な手口としてセッションID固定化（セッションフィクセーション）があります。攻撃者は通常ユーザーとして有効なセッションIDを取得します。次に、罠を仕掛けるなど、標的となるユーザーに対して取得済みのセッションIDを強制し、ユーザーがWebサイトにログインするように仕向けます。結果、攻撃者が事前に取得していたセッションIDにより、なりすましに悪用されてしまいます。

セッションハイジャック（セッション固定化）

セッションハイジャックを防御するための対策は？

セッションハイジャックを防御するための基本的な対策は、「攻撃者にセッションIDを推測させない、漏えいさせない」ことです。

対策1. URLにセッションIDを含めない

WebサイトとユーザーがセッションIDをやりとりする際、セッションIDがURLに保持されている場合があります。RefererヘッダからセッションIDが漏えいする可能性があるなど、ユーザーのセッションIDが様々な箇所から流出、推測されやすくなるため、CookieによるセッションIDの管理に変更することが適切です。

対策2. セッション管理機構を利用する

自作のセッション管理機構の不備により、セッションIDが推測可能な状態になってしまうことを回避するため、Webアプリケーション開発ツールやフレームワークに実装されているセッション管理機構を利用するようにしましょう。

対策3. セッションIDの変更

ログイン後に既存のセッションIDを破棄し、新たにセッションIDを発行するようにしましょう。これにより、ログイン後のセッションIDが攻撃者に分からなくなり、セッションフィクセーションの対策となります。

WAFによるセッションハイジャック対策

Webサイトを狙ったサイバー攻撃に特化したセキュリティ対策製品にWAF（Web Application Firewall）があります。WAFを活用することで、クロスサイトスクリプティング（XSS）を悪用したセッションIDの漏えいを防ぐことができるほか、SQLインジェクションやOSコマンドインジェクション、ディレクトリトラバーサルといった様々な攻撃からWebサイトを保護することができます。前述したセッションハイジャックの対策と組み合わせることで、Webサイトのセキュリティレベルを向上させることができます。

WAF（Web Application Firewall）