情報セキュリティ(36)　サイバー攻撃の手口⑨　セッションハイジャック

Webサービスを利用する際に、利用者のブラウザとサービスを提供するサーバーの間では、HTTPまたはHPPTSというプロトコルで通信を行います。その際、セッションIDが作成され、相手を特定します。Amazonなどで買い物をする時に、いったんブラウザを閉じてから再度開いても、再ログインせずにサーバにつながりますが、これはブラウザがセッションIDを保持するから、サーバが同じ相手だと判断するのです。

ところが、このセッションIDが盗まれて、そのセッションIDで別の者がアクセスしてしまうと、サーバでは違うものと判断できません。これをセッションハイジャックといいます。ブラウザにはcookieという仕組みがあって、一定期間セッションIDを保持するので、これを盗むわけです。

セッションハイジャックを防止するには、cookieの属性をsecure属性にする、URLパラメータに格納しない、などいくつかの対策があります。なりすましを防ぐために、適切な対応を行う必要があります。

投稿者プロフィール

小笠原 裕中小企業診断士　行政書士

バラの咲く街、八千代市緑が丘で、コンサルティング事務所を運営しています。

最新の投稿

• 総合2024.09.16柔道の試合
• ITプロジェクトマネジメント2024.09.03メキシコ出張
• お知らせ2024.08.30夏祭り
• バラの街2024.08.24自治会の花壇