情報セキュリティ(36)　サイバー攻撃の手口⑨　セッションハイジャック

Webサービスを利用する際に、利用者のブラウザとサービスを提供するサーバーの間では、HTTPまたはHPPTSというプロトコルで通信を行います。その際、セッションIDが作成され、相手を特定します。Amazonなどで買い物をする時に、いったんブラウザを閉じてから再度開いても、再ログインせずにサーバにつながりますが、これはブラウザがセッションIDを保持するから、サーバが同じ相手だと判断するのです。

ところが、このセッションIDが盗まれて、そのセッションIDで別の者がアクセスしてしまうと、サーバでは違うものと判断できません。これをセッションハイジャックといいます。ブラウザにはcookieという仕組みがあって、一定期間セッションIDを保持するので、これを盗むわけです。

セッションハイジャックを防止するには、cookieの属性をsecure属性にする、URLパラメータに格納しない、などいくつかの対策があります。なりすましを防ぐために、適切な対応を行う必要があります。