情報セキュリティ(36) サイバー攻撃の手口⑨ セッションハイジャック

Webサービスを利用する際に、利用者のブラウザとサービスを提供するサーバーの間では、HTTPまたはHPPTSというプロトコルで通信を行います。その際、セッションIDが作成され、相手を特定します。Amazonなどで買い物をする時に、いったんブラウザを閉じてから再度開いても、再ログインせずにサーバにつながりますが、これはブラウザがセッションIDを保持するから、サーバが同じ相手だと判断するのです。

ところが、このセッションIDが盗まれて、そのセッションIDで別の者がアクセスしてしまうと、サーバでは違うものと判断できません。これをセッションハイジャックといいます。ブラウザにはcookieという仕組みがあって、一定期間セッションIDを保持するので、これを盗むわけです。

セッションハイジャックを防止するには、cookieの属性をsecure属性にする、URLパラメータに格納しない、などいくつかの対策があります。なりすましを防ぐために、適切な対応を行う必要があります。

投稿者プロフィール

小笠原 裕
小笠原 裕中小企業診断士 行政書士
バラの咲く街、八千代市緑が丘で、コンサルティング事務所を運営しています。