更新日
セッションハイジャック(中間者攻撃)
オンラインを介して仕事をすることがスタンダードになっている昨今、業務環境や顧客からの信頼を維持するためにもサイバー攻撃対策は欠かせません。ここでは中でも「セッションハイジャック(中間者攻撃)」について解説していきます。
セッションハイジャック(中間者攻撃)とは?
そもそもセッションとは?
IT用語における「セッション」とは、「ユーザーがWebサイトにアクセスしてから一定時間内に行う一連の操作」のことを表します。サーバーとユーザーの間での情報のやりとりをスムーズに行うために必要な仕組みであり、このセッションを利用して攻撃する方法のことを「セッションハイジャック」といいます。
セッションハイジャックの攻撃方法とは?
サーバーが各ユーザーのセッションを識別するためには「セッションID」という識別子が用いられますが、これはユーザーがWebサイトなどにログインすることでサーバーから発行されます。セッションハイジャックはこのセッションIDを盗むことによりそのユーザーとして行動を起こすことができるようになるサイバー攻撃ですが、セッションIDの推測・奪取・固定化によるなりすましなどで行われます。
セッションハイジャック(中間者攻撃)を受けるとどうなる?
個人・機密情報の漏洩
Webサービスなどには個人・法人を問わずさまざまな個人情報や機密情報が登録されています。セッションハイジャックでの不正アクセスをされてしまうとこれらの情報を盗み取られ、サイバー攻撃者自身による不正利用や第三者への漏えい・流出などの被害を受けることが考えられます。
サーバーへの不正侵入・改ざん
Webサイトなどは「そのドメインのサイトは正式なアクセス環境下でなければ編集を加えられない」というセキュリティ性から信頼性・真正性が担保されています。だれでも編集可能な掲示板やSNS、口コミサイトなどでは情報の信憑性が薄いのはそのためです。しかし不正アクセスをされてしまい情報の改ざんなどを行われた場合、多くの利用者・消費者は正しい情報であると誤認してしまうでしょう。そうなると自社サイトやサービスの信頼が大きく失墜してしまいます。
クレジットカードやオンラインバンキングの不正利用
最近はさまざまなWebサービスにおいて繰り返し使用する情報を登録することが多くなっています。たとえばクレジットカードやオンラインバンキングなどが具体例として挙げられますが、ワンタップで購入が完了するサービスも多く存在します。不正アクセスでそれらを購入などされてしまうと、身に覚えのない請求や引落しなどが多く発生するでしょう。
セッションハイジャック(中間者攻撃)への対策
セッションIDを工夫する
セッションIDが時間情報や連番などといった単純なアルゴリズムによって生成されている場合、攻撃者から容易に推測されてしまいます。そういった場合、セッションIDの生成パターンを工夫することでセキュリティ性を高めることが可能です。
ログイン後のセッションIDを変更する
アプリやサービスによってはログイン前とログイン後のセッションIDが同じことがありますが、そうなるとセッションの固定化攻撃に脆弱な可能性が高くなります。ログイン後は既存のものを向こうかすることで、不正アクセスを防止できる可能性が高くなるでしょう。
ワンタイムセッションIDの導入
ワンタイムセッションIDとは一度しか利用できないセッションIDのことです。一度使用されたセッションIDを無効とすることで、攻撃者にセッションIDを奪われても悪用されるリスクが低くなります。
WAFの導入
WAF(Web Application Firewall)とはWebアプリケーションの脆弱性を突いた攻撃を防御するものをいい、これを利用することによってクロスサイトスクリプティングなどを悪用したセッションIDの漏えいを防げる可能性が高くなります。
Cookieにはsecure属性を加える
Cookieには「secure属性」という項目が存在しますが、secure属性が設定されたCookieはHTTPS通信でのみ使用されることになります。 HTTP通信でセッションのやり取りが行われる場合では経路が暗号化されていないことから攻撃者にセッションIDを盗聴されてしまう可能性があります。Cookieにsecure属性を設定してHTTP通信によりCookieを利用する場合、HTTPS通信で利用されているCookieと別のものを使用することがおすすめです。
セキュリティ対策は漏れなく対応を
Webサービスが多く利用される昨今、セキュリティによる信頼性は企業の大きな課題となります。これらのサイバー攻撃手法にはどのようなものがあるかをしっかりと学んで置き、漏れなく対応できるように準備を進めておきましょう。
