セッションハイジャック
読み方:セッションハイジャック
セッションハイジャックとは
セッションとは通信を意味し、不正な手段でセッションIDを盗み出し、なりすましおよび乗っ取りを行うサイバー攻撃です。それにより、本来は入手できないはずの機密情報を盗み出すことやオンラインバンキングの不正入金すること、登録情報の漏洩や改ざんにつながります。さらにはクレジットカードの不正利用までに被害はおよびます。セッションハイジャックの攻撃対象としてTCPセッションとUDPセッション、HTTPセッションがあります。TCPセッションを対象とした攻撃は対策研究の結果、2008年に無力化されました。
セッションハイジャックの対策
対策としては、URLにセッションIDを含めないことや、セッション管理ツールに頼ること、およびワンタイムセッションIDの発行が主なものとなります。
セッションハイジャックの種類
- サイドジャッキング:オンライン通信を不正に傍受し、ユーザのCookie情報を解読することで、ユーザのセッションIDを探り出す攻撃手法です。
- DNSキャッシュポイズニング:UDPセッションにおける攻撃手法の一つです。攻撃者はDNSキャッシュサーバに不正な情報を記憶させて不正な通信を行わせ、アクセスしてきたユーザを偽サイトに誘導させます。
- セッションフィクセーション:HTTPセッションにおける攻撃手法の一つです。攻撃者が不正に作成したセッションIDをフィッシングサイト等にてユーザに使わせることで、ユーザになりすまし不正な操作を行います。
- ブルートフォース:セッションIDを推察し、考えられ得るIDを手当たり次第に書き換えて探り出す攻撃手法です。
- クロスサイトスクリプティング:攻撃者があらかじめ脆弱性のあるサイトやアプリケーションに不正なコードを仕込んで、標的がアクセスすると標的のCookie情報がそのまま攻撃者に送信されます。
- マルウェア:マルウェアとはコンピュータやそのユーザに対して害を与えることを、意図して作られた悪意あるプログラムやコードの総称です。Cookie情報を乗っ取り、攻撃者にCookie情報を送信していくことにも、マルウェアは利用されます。
- IPスプーフィング:攻撃者が送信元のIPアドレスを故意に変えて、ユーザになりすます手口です。
セッションハイジャックの事例
- 某著名Webサーバ不正アクセス事件
2010年4月に当該サーバがクロスサイトスクリプティングの被害に遭いました。攻撃者から添付されたURLにアクセスしたことによりCookie情報が盗まれ、管理者権限を奪われてしまう事態になりました。また、加害者は同時にブルートフォース攻撃も行い、サーバを利用しているアカウントを盗むことも狙ったため、騒ぎが大きくなり大問題に発展しました。
